Pesquisar este blog

quarta-feira, 21 de novembro de 2012

COBIT - 4.1 - Conceitos


A governança de TI é de responsabilidade dos executivos e da alta direção, consistindo em aspectos de liderança, estrutura organizacional e processos que garantam que a área de TI da organização suporte e aprimore os objetivos e as estratégias da organização.


Áreas de Foco na Governança de TI

Alinhamento estratégico: foca em garantir a ligação entre os planos de negócios e de TI, definindo, mantendo e validando a proposta de valor de TI, alinhando as operações de TI com as operações da organização.

Entrega de valor: é a execução da proposta de valor de IT através do ciclo de entrega, garantindo que TI entrega os prometidos benefícios previstos na estratégia da organização, concentrado-se em otimizar custos e provendo o valor intrínseco de TI.

Gestão de recursos: refere-se à melhor utilização possível dos investimentos e o apropriado gerenciamento dos recursos críticos de TI: aplicativos, informações, infraestrutura e pessoas. Questões relevantes referem-se à otimização do conhecimento e infraestrutura.

Gestão de risco: requer a preocupação com riscos pelos funcionários mais experientes da corporação, um entendimento claro do apetite de risco da empresa e dos requerimentos de conformidade, transparência sobre os riscos significantes para a organização e inserção do gerenciamento de riscos nas atividades da companhia.

Mensuração de desempenho: acompanha e monitora a implementação da estratégia, término do projeto, uso dos recursos, processo de performance e entrega dos serviços, usando, por exemplo, “balanced scorecards” que traduzem as estratégia em ações para atingir os objetivos, medidos através de processos contábeis convencionais.

O CobiT é um modelo e uma ferramenta de suporte que permite aos gerentes suprir as deficiências com respeito aos requisitos de controle, questões técnicas e riscos de negócios, comunicando esse nível de controle às partes interessadas. O CobiT habilita o
desenvolvimento de políticas claras e boas práticas para controles de TI em toda a empresa. O CobiT é atualizado continuamente e harmonizado com outros padrões e guias. Assim, o CobiT tornou-se o integrador de boas práticas de TI e a metodologia de governança de TI que ajuda no entendimento e gerenciamento dos riscos e benefícios associados com TI.
A estrutura de processos do CobiT e o seu enfoque de alto nível orientado aos negócios fornece uma visão geral de TI e das decisões a serem tomadas sobre o assunto.

Os benefícios de implementar o CobiT como um modelo de governança de TI incluem:
· Um melhor alinhamento baseado no foco do negócio
· Uma visão clara para os executivos sobre o que TI faz
· Uma clara divisão das responsabilidades baseada na orientação para processos
· Aceitação geral por terceiros e órgãos reguladores
· Entendimento compreendido entre todas as partes interessadas, baseado em uma linguagem comum
· Cumprimento dos requisitos do COSO para controle do ambiente de TI.

Missão do CobiT:
Pesquisar, desenvolver, publicar e promover um modelo de controle para governança de TI atualizado e internacionalmente reconhecido para ser adotado por organizações e utilizado no dia-a-dia por gerentes de negócios, profissionais de TI e profissionais de avaliação.

Focado em negócios:
A orientação para negócios é o principal tema do CobiT, o qual foi desenvolvido não somente para ser utilizado por provedores de serviços, usuários e auditores, mas também, e mais importante, para fornecer um guia abrangente para os executivos e donos de processos de negócios.

O modelo CobiT é baseado nos seguintes princípios: 

Prover a informação de que a organização precisa para atingir os seus objetivos, as necessidades para investir, gerenciar e controlar os recursos de TI usando um conjunto estruturado de processos para prover os serviços que disponibilizam as informações necessárias para a organização. O gerenciamento e o controle da informação estão presentes em toda a metodologia CobiT e ajudam a assegurar o alinhamento com os requisitos de negócios.

CRITÉRIOS DE INFORMAÇAO DO CobiT

Para atender aos objetivos de negócios, as informações precisam se adequar a certos critérios de controles, aos quais o CobiT denomina necessidades de informação da empresa. Baseado em abrangentes requisitos de qualidade, guarda e segurança, sete critérios de informação distintos e sobrepostos são definidos, como segue:

· Efetividade lida com a informação relevante e pertinente para o processo de negócio bem como a mesma sendo entregue em
tempo, de maneira correta, consistente e utilizável.
· Eficiência relaciona-se com a entrega da informação através do melhor (mais produtivo e econômico) uso dos recursos.
· Confidencialidade está relacionada com a proteção de informações confidenciais para evitar a divulgação indevida.
· Integridade relaciona-se com a fidedignidade e totalidade da informação bem como sua validade de acordo os valores de negócios
e expectativas.
· Disponibilidade relaciona-se com a disponibilidade da informação quando exigida pelo processo de negócio hoje e no futuro.
Também está ligada à salvaguarda dos recursos necessários e capacidades associadas.
· Conformidade lida com a aderência a leis, regulamentos e obrigações contratuais aos quais os processos de negócios estão
sujeitos, isto é, critérios de negócios impostos externamente e políticas internas.
· Confiabilidade relaciona-se com a entrega da informação apropriada para os executivos para administrar a entidade e exercer
suas responsabilidades fiduciárias e de governança.


RECURSOS DE TI

Os recursos de TI identificados no CobiT podem ser definidos como segue:

· Aplicativos são os sistemas automatizados para usuários e os procedimentos manuais que processam as informações.

· Informações são os dados em todas as suas formas, a entrada, o processamento e a saída fornecida pelo sistema de informação em qualquer formato a ser utilizado pelos negócios.

· Infraestrutura refere-se à tecnologia e aos recursos (ou seja, hardware, sistemas operacionais, sistemas de gerenciamento de bases de dados, redes, multimídia e os ambientes que abrigam e dão suporte a eles) que possibilitam o processamento dos aplicativos.

· Pessoas são os funcionários requeridos para planejar, organizar, adquirir, implementar, entregar, suportar, monitorar e avaliar os sistemas de informação e serviços. Eles podem ser internos, terceirizados ou contratados, conforme necessário.

Orientado para processos

O CobiT define as atividades de TI em um modelo de processos genéricos com quatro domínios. Esses domínios são: 

 - Planejar e Organizar (PO) - Provê direção para entrega de soluções;
 - Adquirir e Implementar (AI) - Provê as soluções e as transfere para tornarem-se serviços;
 - Entregar e Suportar (DS) - Recebe as soluções e as torna passíveis de uso pelos usuários finais;
 - Monitorar e Avaliar (ME) - Monitora todos os processos para garantir que a direção definida seja seguida.

Esses domínios mapeiam as tradicionais áreas de responsabilidade de TI de planejamento, construção, processamento e monitoramento.


PLANEJAR E ORGANIZAR (PO)

Este domínio cobre a estratégia e as táticas, preocupando-se com a identificação da maneira em que TI pode melhor contribuir para atingir os objetivos de negócios. O sucesso da visão estratégica precisa ser planejado, comunicado e gerenciado por diferentes perspectivas. Uma apropriada organização bem como uma adequada infraestrutura tecnológica devem ser colocadas em funcionamento.

Este domínio tipicamente ajuda a responder as seguintes questões gerenciais:
· As estratégias de TI e de negócios estão alinhadas?
· A empresa está obtendo um ótimo uso dos seus recursos?
· Todos na organização entendem os objetivos de TI?
· Os riscos de TI são entendidos e estão sendo gerenciados?
· A qualidade dos sistemas de TI é adequada às necessidades de negócios?

ADQUIRIR E IMPLEMENTAR (AI)

Para executar a estratégia de TI, as soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas, implementas e integradas ao processo de negócios. Além disso, alterações e manutenções nos sistemas existentes são cobertas por esse domínio para assegurar que as soluções continuem a atender aos objetivos de negócios. 

Este domínio tipicamente trata das seguintes questões de gerenciamento:
· Os novos projetos fornecerão soluções que atendam às necessidades de negócios?
· Os novos projetos serão entregues no tempo e orçamento previstos?
· Os novos sistemas ocorreram apropriadamente quando implementado?
· As alterações ocorrerão sem afetar as operações de negócios atuais?

ENTREGAR E SUPORTAR (DS)

Este domínio trata da entrega dos serviços solicitados, o que inclui entrega de serviço, gerenciamento da segurança e continuidade, serviços de suporte para os usuários e o gerenciamento de dados e recursos operacionais. 

Trata geralmente das seguintes questões de gerenciamento:
· Os serviços de TI estão sendo entregues de acordo com as prioridades de negócios?
· Os custos de TI estão otimizados?
· A força de trabalho está habilitada para utilizar os sistemas de TI de maneira produtiva e segura?
· Os aspectos de confidencialidade, integridade e disponibilidade estão sendo contemplados para garantir a segurança da informação?

MONITORAR E AVALIAR (ME)

Todos os processos de TI precisam ser regularmente avaliados com o passar do tempo para assegurar a qualidade e a aderência aos requisitos de controle. Este domínio aborda o gerenciamento de performance, o monitoramento do controle interno, a aderência regulatória e a governança. 

Trata geralmente das seguintes questões de gerenciamento:
· A performance de TI é mensurada para detectar problemas antes que seja muito tarde?
· O gerenciamento assegura que os controles internos sejam efetivos e eficientes?
· O desempenho da TI pode ser associado aos objetivos de negócio?
· Existem controles adequados para garantir confidencialidade, integridade e disponibilidade das informações?

Dentro desses quatro domínios o CobiT identificou 34 processos de TI geralmente utilizados.

Para cada um desses 34 processos, uma ligação foi feita com os objetivos de negócios e de TI suportados. Também são fornecidas informações sobre como os objetivos podem ser medidos, quais são as atividades-chave, as principais entregas e quem é responsável por elas.

Baseado em Controles

O CobiT define objetivos de controles para todos os 34 processos e engloba todos os processos e controles de aplicativos.

Modelo de Maturidade Genérico

0 Inexistente – Completa falta de um processo reconhecido. A empresa nem mesmo reconheceu que existe uma questão a ser trabalhada.

1 Inicial / Ad hoc – Existem evidências que a empresa reconheceu que existem questões e que precisam ser trabalhadas. No entanto, não existe processo padronizado; ao contrário, existem enfoques Ad Hoc que tendem a ser aplicados individualmente ou caso-a-caso. O enfoque geral de gerenciamento é desorganizado.

2 Repetível, porém Intuitivo – Os processos evoluíram para um estágio onde procedimentos similares são seguidos por diferentes pessoas fazendo a mesma tarefa. Não existe um treinamento formal ou uma comunicação dos procedimentos padronizados e a responsabilidade é deixado com o indivíduo. Há um alto grau de confiança no conhecimento dos indivíduos e conseqüentemente erros podem ocorrer.

3 Processo Definido – Procedimentos foram padronizados, documentados e comunicados através de treinamento. É mandatório que esses processos sejam seguidos; no entanto, possivelmente desvios não serão detectados. Os procedimentos não são sofisticados mas existe a formalização das práticas existentes.

4 Gerenciado e Mensurável – A gerencia monitora e mede a aderência aos procedimentos e adota ações onde os processos parecem não estar funcionando muito bem. Os processos estão debaixo de um constante aprimoramento e fornecem boas práticas. Automação e ferramentas são utilizadas de uma maneira limitada ou fragmentada.

5 Otimizado – Os processos foram refinados a um nível de boas práticas, baseado no resultado de um contínuo aprimoramento e modelagem da maturidade como outras organizações. TI é utilizada como um caminho integrado para automatizar o fluxo de trabalho, provendo ferramentas para aprimorar a qualidade e efetividade, tornando a organização rápida em adaptar-se.


Visão Geral do Modelo do CobiT

Objetivos de Negócio
Objetivos de Governança

PLANEJAR E ORGANIZAR

  • PO1 Definir um Plano Estratégico de TI
  • P02 Definir a Arquitetura da Informação
  • PO3 Determinar o Direcionamento Tecnológico
  • PO4 Definir os Processos, Organização e os Relacionamentos de TI
  • PO5 Gerenciar o Investimento de TI
  • PO6 Comunicar as Diretrizes e Expectativas da Diretoria
  • PO7 Gerenciar os Recursos Humanos de TI
  • PO8 Gerenciar a Qualidade
  • PO9 Avaliar e Gerenciar os Riscos de TI
  • PO10 Gerenciar Projetos

ADQUIRIR E IMPLEMENTAR

  • AI1 Identificar Solução Automatizadas
  • AI2 Adquirir e Manter Software Aplicativo
  • AI3 Adquirir e Manter Infraestrutura de Tecnologia
  • AI4 Habilitar Operação e Uso
  • AI5 Adquirir Recursos de TI
  • AI6 Gerenciar Mudanças
  • AI7 Instalar e Homologar Soluções e Mudanças

ENTREGAR E SUPORTAR

  • DS1 Definir e Gerenciar Níveis de Serviços
  • DS2 Gerenciar Serviços de Terceiros
  • DS3 Gerenciar Capacidade e Desempenho
  • DS4 Assegurar Continuidade de Serviços
  • DS5 Assegurar a Segurança dos Serviços
  • DS6 Identificar e Alocar Custos
  • DS7 Educar e Treinar os Usuários
  • DS8 Gerenciar a Central de Serviço e os Incidentes
  • DS9 Gerenciar a Configuração
  • DS10 Gerenciar os Problemas
  • DS11 Gerenciar os Dados
  • DS12 Gerenciar o Ambiente Físico
  • DS13 Gerenciar as Operações


MONITORAR E AVALIAR

  • ME1 Monitorar e Avaliar o Desempenho
  • ME2 Monitorar e Avaliar os Controles Internos
  • ME3 Assegurar a Conformidade com Requisitos Externos
  • ME4 Prover a Governança de TI


CRITÉRIOS DE INFORMAÇÃO


  • Efetividade
  • Eficiência
  • Confidencialidade
  • Integridade
  • Disponiblidade
  • Conformidade
  • Confiabilidade

RECURSOS DE TI


  • Aplicativos
  • Informações
  • Infaestrutura
  • Pessoas



PO1 Definir um Plano Estratégico de TI

O planejamento estratégico de TI é necessário para gerenciar todos os recursos de TI em alinhamento com as prioridades e estratégias de negócio. A função de TI e as partes interessadas pelo negócio são responsáveis por garantir a otimização do valor a ser obtido do portfólio de projetos e serviços. O plano estratégico deve melhorar o entendimento das partes interessadas no que diz respeito a oportunidades e limitações da TI, avaliar o desempenho atual e esclarecer o nível de investimento requerido. A estratégia e as prioridades de negócio devem ser refletidas nos portfólios e executadas por meio de planos táticos de TI que estabeleçam objetivos concisos, tarefas e planos bem definidos e aceitos por ambos, negócio e TI.

PO1.1 Gerenciamento de Valor da TI

Trabalhar com a Direção do Negócio para assegurar que o portfólio de investimentos em TI da empresa contenha programas baseados em sólidos estudos de caso de negócio. Reconhecer que há investimentos obrigatórios, sustentáveis e discricionários que diferem em complexidade e grau de liberdade na alocação de fundos. Os processos de TI devem prover a entrega eficaz e eficiente dos componentes de TI e prévia advertência de qualquer desvio do plano, incluindo custo, cronograma ou funcionalidade, que possa afetar os resultados esperados dos programas. Os serviços de TI devem ser executados em conformidade com acordos de níveis de serviço (service level agreeement, SLA) equilibrados e controláveis. A responsabilidade pelo alcance dos benefícios e o controle dos custos deve ser claramente atribuída e monitorada. Estabelecer avaliação adequada, transparente, repetível e comparável de estudos de caso de negócio, incluindo valor financeiro, o risco de não fornecer uma capacidade e o risco de não atingir os benefícios esperados.

PO1.2 Alinhamento entre TI e Negócio

Estabelecer processos de educação bi-direcional e envolvimento recíproco no planejamento estratégico para atingir o alinhamento e a integração de negócios e TI. Mediar os imperativos de negócios e de TI para que as prioridades sejam mutuamente aceitas.

PO1.3 Avaliação da Capacidade e Desempenho Correntes

Avaliar a capacidade e o desempenho atuais das entregas de soluções e serviços para estabelecer um modelo com o qual os requisitos futuros podem ser comparados.
Definir o desempenho em termos da contribuição de TI com os objetivos de negócio, funcionalidades, estabilidade, complexidade, custos, pontos fortes e fragilidades.

PO1.4 Plano Estratégico de TI

Criar um plano estratégico que defina, em cooperação com as partes interessadas relevantes, como a TI contribuirá com os objetivos estratégicos da organização (metas) e quais os custos e riscos relacionados. Esse plano estratégico deve contemplar como a TI aplicará os programas de investimentos e como dará sustentação à entrega operacional de serviços. O plano deve definir como os objetivos serão atingidos e medidos e deve ser formalmente liberado para implementação pelas partes interessadas. O plano estratégico de TI deve contemplar o orçamento operacional e de investimento, as fontes de recursos financeiros, a estratégia de fornecimento, a estratégia de aquisição e requisitos legais e regulamentares. O plano estratégico deve ser suficientemente detalhado para possibilitar a definição dos planos táticos de TI.

PO1.5 Planos Táticos de TI

Criar um portfólio de planos táticos de TI derivados do plano estratégico de TI. Esses planos táticos devem descrever quais são as iniciativas de TI requeridas, quais os recursos necessários e como o uso de recursos e os benefícios alcançados serão monitorados e administrados. Os planos táticos devem ser suficientemente detalhados de forma a permitir o desenvolvimento de planos de projetos. Gerenciar ativamente o conjunto de planos e iniciativas táticas de TI através de análise do portfólio de projetos e serviços. Isso contempla o acompanhamento frequente de requisitos e recursos, comparando-os ao alcance de metas estratégicas e táticas e os benefícios esperados, e tomando-se as ações apropriadas em caso de desvios.

PO1.6 Gerenciamento do Portfólio de TI

Gerenciar ativamente com as áreas de negócio o portfólio dos programas de investimentos de TI necessários para atingir os objetivos estratégicos específicos de negócio, através de identificação, definição, avaliação, priorização, seleção, início, gerenciamento e controle de programas. Isso inclui esclarecer os resultados de negócio desejados, assegurar que os objetivos do programa sustentem o alcance dos resultados, entender o escopo completo do esforço necessário para atingir os resultados, atribuir responsabilidades com medidas de suporte, definir projetos dentro do programa, alocar recursos e fundos, delegar autoridade e atribuir responsabilidades pelos projetos no lançamento do programa.


P02 Definir a Arquitetura da Informação

Os sistemas de informação devem criar e atualizar regularmente um modelo de informação do negócio e definir os sistemas apropriados para otimizar o uso dessa informação. Isso abrange o desenvolvimento de um dicionário de dados corporativo com as regras de sintaxe de dados, o esquema de classificação de dados e os níveis de segurança da organização. Esse processo melhora a qualidade de decisão do gerenciamento certificando-se de que informações seguras e confiáveis sejam fornecidas e permite racionalizar os recursos de sistemas de informação para atender às estratégias de negócio de forma apropriada. Esse processo de TI também é necessário para permitir um maior grau de responsabilização pela integridade e a segurança dos dados e melhorar a efetividade e o controle do compartilhamento da informação através das aplicações e entidades.

PO2.1 Modelo de Arquitetura da Informação da Organização

Estabelecer e manter um modelo de informação da organização que permita o desenvolvimento de aplicações e atividades de apoio à decisão consistentes com os planos de TI, conforme descrito no PO1. O modelo facilita a criação, o uso e o compartilhamento
otimizados da informação pelo negócio para manter a integridade e ser flexível, funcional, com boa relação custo-benefício, rápido, seguro e resistente a falhas.

PO2.2 Dicionário de Dados Corporativos e Regras de Sintaxe de Dados

Manter um dicionário de dados corporativos que incorpore as regras de sintaxe de dados da organização. Este dicionário permite o compartilhamento dos elementos de dados entre aplicativos e sistemas, promove um entendimento comum de dados entre a TI e os
usuários do negócio, e previne a criação de elementos de dados incompatíveis.

PO2.3 Esquema de Classificação de Dados

Estabelecer um esquema de classificação de dados aplicável a toda a organização com base na importância e na confidencialidade dos dados corporativos (por exemplo: público, confidencial, altamente secreto). Esse esquema inclui detalhes sobre os proprietários dos dados, definição de níveis apropriados de segurança, controle de proteção, uma breve descrição dos requisitos de retenção e destruição dos dados, importância e confidencialidade. É utilizado como base para aplicação de controles, tais como controles de acesso, arquivamento ou criptografia.

PO2.4 Gerenciamento de Integridade

Definir e implementar procedimentos que assegurem a integridade e consistência de todos os dados armazenados na forma eletrônica, tais como banco de dados, data warehouses e arquivos de dados.


PO3 Determinar as Diretrizes da Tecnologia

Os responsáveis pelos serviços de informação determinam um direcionamento tecnológico que suporta o negócio. Isso demanda a criação de um plano de infraestrutura tecnológica e um conselho de arquitetura que estabeleça e gerencie expectativas claras e realistas do que a tecnologia pode oferecer em termos de produtos, serviços e mecanismos de entrega. O plano é atualizado regularmente e abrange aspectos como arquitetura de sistemas, direcionamento tecnológico, plano de aquisições, padrões, estratégias de migração e contingência. Isso permite respostas rápidas a mudanças em um ambiente competitivo, economia de escala em equipes e em investimentos de sistemas de informação, bem como melhor interoperabilidade entre plataformas e aplicações.

PO3.1 Planejamento da Diretriz Tecnológica

Analisar as tecnologias existentes e emergentes e planejar qual direcionamento é apropriado para realizar a estratégia de TI e a arquitetura de sistemas do negócio. Identificar também no plano quais as tecnologias com potencial para gerar oportunidades de negócio. O plano deve contemplar a arquitetura de sistemas, o direcionamento tecnológico, estratégias de migração e aspectos contingenciais dos componentes de infraestrutura.

PO3.2 Plano de Infraestrutura Tecnológica

Criar e manter um plano de infraestrutura tecnológica adequado aos planos tático e estratégico de TI. O plano está baseado no direcionamento tecnológico e inclui acordos de contingência e direcionamento para a aquisição de recursos tecnológicos. Considera mudanças no ambiente competitivo, economia de escala em investimentos em pessoal e sistemas de informação, assim como melhorias na interoperabilidade entre plataformas e aplicações.

PO3.3 Monitoramento de Regulamentos e Tendências Futuras

Estabelecer um processo para monitorar as tendências das áreas de negócio, tecnologia, infraestrutura, legal e regulatória. Incorporar as consequências dessas tendências ao desenvolvimento do plano de infraestrutura de tecnologia de TI.

PO3.4 Padrões Tecnológicos

Prover soluções tecnológicas seguras, eficazes e consistentes, em toda a organização, estabelecer um fórum de tecnologia para prover diretrizes tecnológicas, aconselhamento sobre a infraestrutura de produtos, orientação na seleção da tecnologia e avaliar a conformidade com estes padrões e diretrizes. Este fórum direciona os padrões e práticas tecnológicos com base na relevância para o negócio, nos riscos e na conformidade com requisitos externos.

PO3.5 Conselho de Arquitetura de TI

Estabelecer um conselho de arquitetura de TI para prover diretrizes de arquitetura, orientar a aplicação e verificar a conformidade. Esta entidade norteia o projeto da arquitetura de TI assegurando que sejam implementadas as estratégias de negócio e considerados os requisitos de conformidade e continuidade. Está relacionado/vinculado ao PO2 Definição da arquitetura da informação.


PO4 Definir os Processos, Organização e Relacionamentos de TI

Uma organização de TI é definida considerando os requisitos de pessoal, habilidades, funções, autoridade, papéis e responsabilidades, rastreabilidade e supervisão. Essa organização deve fazer parte de uma estrutura de processos de TI que assegure transparência e controle, assim como o envolvimento de executivos sênior e a Direção do negócio. Um comitê estratégico deve assegurar a supervisão da Direção de TI, e um ou mais comitês dos quais as áreas de negócio e TI participem devem definir a priorização dos recursos de TI em linha com as necessidades do negócio. Os processos, as políticas administrativas e os procedimentos precisam estar estabelecidos para todas as funções, com especial atenção às de controle, garantia da qualidade, gestão de risco, segurança da informação, propriedade de sistemas e dados e segregação de funções. Para assegurar o rápido atendimento das exigências do negócio, a TI deve ser envolvida nos processos de decisão relevantes.

PO4.1 Estrutura de Processos de TI

Definir um modelo de processos de TI para executar o plano estratégico de TI. Este modelo inclui uma estrutura de processos e relacionamentos de TI (por exemplo, gerenciar falhas ou interposições de processos), definição de um proprietário, maturidade, medição de desempenho, melhorias, conformidade, metas de qualidade e planos para atingi-las. O modelo provê integração entre os processos de TI, gestão de portfólio corporativo, processos de negócio e mudanças nos processos. O modelo de processos de TI deve estar integrado a um sistema de gestão da qualidade e a uma estrutura de controles internos.

PO4.2 Comitê Estratégico de TI

Estabelecer um comitê estratégico de TI em nível de Diretoria. Esse comitê assegura que a governança de TI seja devidamente considerada como parte da governança corporativa, aconselha sobre o direcionamento estratégico e analisa os principais investimentos, em nome de toda a Direção.

PO4.3 Comitê Executivo de TI

Estabelecer um comitê executivo (ou equivalente) composto pelas Diretorias Executiva, Negócios e TI para:

  • Determinar prioridades dos programas de investimentos em TI em linha com as estratégias e prioridades do negócio
  • Monitorar o estado atual dos projetos e resolver conflitos de recursos
  • Monitorar níveis de serviço e suas melhorias

PO4.4 Posicionamento Organizacional da área de TI

Posicionar a área de TI na estrutura geral organizacional através de um modelo que efetivamente considere sua importância e as necessidades de contingência, considerando a importância da TI para a estratégia de negócio e o nível de dependência operacional.
A linha de reporte do CIO deve ser proporcional à importância da TI dentro do negócio.

PO4.5 Estrutura Organizacional de TI

Estabelecer uma estrutura organizacional interna e externa de TI que reflita as necessidades do negócio. Adicionalmente estabelecer um processo para revisar periodicamente a estrutura organizacional de TI e ajustar os requisitos de pessoal e estratégias de fornecimento para atender aos objetivos de negócio esperados e a possíveis situações de mudança.

PO4.6 Definição de Papéis e Responsabilidades

Definir e comunicar para o pessoal de TI e usuários finais seus respectivos papéis e responsabilidades, que especifiquem a autoridade, responsabilidade e responsabilização, com o objetivo de atender às necessidades da organização.

PO4.7 Responsabilidade pela Garantia de Qualidade

Atribuir responsabilidade pelo desempenho da função de garantia de qualidade (QA, quality assurance), e prover a esse grupo conhecimento e sistemas adequados de controle e comunicação. Garantir que o posicionamento na organização, o dimensionamento da responsabilidade e tamanho do grupo de QA atendam aos requisitos da organização

PO4.8 Responsabilidade por Riscos, Segurança e Conformidade

Incluir nas funções de negócio a propriedade e a responsabilidade pelos riscos relacionados a TI a um nível sênior apropriado. Definir e atribuir papéis críticos para o gerenciamento dos riscos de TI, incluindo a responsabilidade específica pela segurança da informação, segurança física e conformidade. Estabelecer responsabilidade no nível organizacional pelo gerenciamento de risco e segurança para questões de nível organizacional.
Pode ser preciso atribuir responsabilidades adicionais de gerenciamento de segurança ao nível de um sistema específico para lidar com questões de segurança relacionadas. Obter direcionamento da Diretoria sobre os níveis específicos de risco de TI aceitáveis e aprovação de quaisquer riscos residuais

PO4.9 Proprietários de Dados e Sistemas

Estabelecer procedimentos e disponibilizar ferramentas que possibilitem tratar as responsabilidades dos proprietários dos dados e sistemas de informação. Os proprietários tomam decisões sobre a classificação da informação e dos sistemas e os protegem em conformidade com essa classificação.

PO4.10 Supervisão

Implementar técnicas de supervisão adequadas na área de TI para assegurar que os papéis e as responsabilidades sejam adequadamente exercidos, avaliar se todo o pessoal tem autoridade e recursos suficientes para exercer seus papéis e responsabilidades e revisar de forma geral os indicadores-chave de desempenho.

PO4.11 Segregação de Funções

Implementar uma separação de papéis e responsabilidades que reduza a possibilidade de um único indivíduo subverter um processo crítico. A gerência também deve se certificar de que o pessoal esteja executando apenas tarefas autorizadas relevantes aos seus respectivos cargos e posições.

PO4.12 Recrutamento de pessoal de TI

Avaliar os requisitos de recrutamento regularmente ou com base em grandes mudanças nos ambientes de TI, operacional ou de negócio para garantir que a área de TI tenha quantidade suficiente de pessoal para suportar de forma adequada os objetivos e metas de negócios.

PO4.13 Pessoal Chave de TI

Definir e identificar o pessoal-chave de TI (ex., pessoal para reposição/backup) e minimizar o excesso de confiança em um único indivíduo executando uma função crítica.

PO4.14 Políticas e Procedimentos para Pessoal Contratado

Definir e implementar políticas e procedimentos para controlar as atividades de consultores e outros contratados da área de TI visando assegurar a proteção dos ativos de informação da organização e o cumprimento das exigências contratuais firmadas.

PO4.15 Relacionamentos

Estabelecer e manter uma estrutura otimizada de coordenação, comunicação e conexão entre a função de TI e diversos outros interesses dentro ou fora da área de TI; por exemplo, Diretoria, unidades de negócios, usuários individuais, fornecedores, profissionais de segurança, gerentes de risco, gerenciamento de pessoal terceirizado e externo e o grupo de conformidade corporativa (compliance).


PO5 Gerenciar o Investimento de TI

Estabelecer e manter uma estrutura para gerenciar os programas de investimentos em TI que contemple custos, benefícios, prioridade dentro do orçamento, um processo formal de definição orçamentária e gerenciamento de acordo com o orçamento. As partes interessadas são consultadas para identificar e controlar os custos totais e os benefícios dentro dos contextos estratégicos e táticos da TI e iniciar ações de correção quando necessário. O processo promove a parceria entre a TI e as partes interessadas do negócio, permite o uso eficaz e eficiente dos recursos de TI, provê transparência, atribui responsabilidade pelo custo total de propriedade (TCO, Total Cost of Ownership), realização dos benefícios do negócio e do retorno sobre os investimentos em TI.


PO5.1 Estrutura da Administração Financeira

Estabelecer e manter uma estrutura financeira para gerenciar investimentos e custos de bens e serviços de TI através de portfólios de investimentos, estudos de caso e orçamentos de TI.

PO5.2 Priorização dentro do Orçamento de TI

Implementar um processo de tomada de decisão para priorizar a alocação dos recursos de TI em operações, projetos e manutenção visando maximizar a contribuição da TI na otimização dos retornos do programa de investimentos em TI e outros serviços e recursos da TI.

PO5.3 Processo de Orçamento de TI

Estabelecer um processo para preparar e controlar um orçamento que reflita as prioridades estabelecidas pelo portfólio de programas de investimentos de TI da organização, incluindo os custos contínuos de operação e manutenção da infraestrutura atual. O processo deve sustentar o desenvolvimento do orçamento de TI total, bem como o desenvolvimento de orçamentos para programas individuais, com ênfase especial nos componentes de TI de tais programas. O processo deve permitir revisão, refinação e aprovação contínuas do orçamento de TI total e de todos os orçamentos de programas individuais.

PO5.4 Gerenciamento de Custo

Implementar um processo de gerenciamento de custo comparando os custos e benefícios reais. Os custos devem ser monitorados e relatados. Se houver desvios, devem ser identificados a tempo, avaliados os impactos destes sobre os programas e ações corretivas
apropriadas precisam ser tomadas junto com o patrocinador do negócio desses programas. Quando necessário, o estudo de caso (business case) deve ser atualizado.

PO5.5 Gerenciamento de Benefícios

Implementar um processo de monitoramento dos benefícios de prover e manter capacidades de TI apropriadas. Devem ser identificadas, pactuadas, monitoradas e reportadas as contribuições esperadas de TI para com os resultados de negócio, tanto como um componente de programas de investimento em TI quanto como parte da operação de suporte regular. Os relatórios devem ser revisados e ações apropriadas devem ser definidas e implantadas onde houver oportunidade para melhorar a contribuição de TI. O programa de estudo de caso deve ser atualizado quando afetado por mudanças na contribuição da TI ou por projetos relacionados.

PO6 Comunicar Metas e Diretrizes Gerenciais

A Direção deve desenvolver uma estrutura de controle de TI corporativo e definir e comunicar políticas. Um programa de comunicação contínuo aprovado e apoiado pela Direção deve ser implementado para articular missão, metas, políticas, procedimentos etc. A comunicação apoia o alcance dos objetivos de TI e assegura a consciência e o entendimento dos negócios, dos riscos de TI, dos objetivos e das diretrizes. O processo deve assegurar conformidade com leis e regulamentos relevantes. 

PO6.1 Política de TI e Ambiente de Controle

Definir os elementos de um ambiente de controle de TI alinhados com o estilo operacional e a filosofia de gerenciamento da empresa. Entre esses elementos estão as expectativas e os requisitos de entrega de valor dos investimentos de TI, o grau de aceitação de risco, a integridade, os valores éticos, a competência do pessoal e a responsabilização. O ambiente de controle está baseado em uma cultura que sustenta a entrega de valor e, ao mesmo tempo, controla os riscos significativos, incentiva o trabalho em equipe e a cooperação entre equipes, promove a conformidade, promove o processo de melhoria contínua e lida com os desvios (incluindo falhas) de forma adequada.

PO6.2 Risco de TI Corporativo e Estrutura Interna de Controle

Desenvolver e manter uma estrutura que estabeleça uma abordagem corporativa completa dos riscos e controles de TI e o alinhamento com as políticas e o ambiente de controle de TI e com a estrutura de riscos e controles da organização.

PO6.3 Gerenciamento de Políticas de TI

Desenvolver e manter um conjunto de políticas para apoiar a estratégia de TI. Essas políticas devem incluir os objetivos das políticas, papéis e responsabilidades, processos de exceções, abordagem de conformidade, referências a procedimentos, padrões e diretrizes. Sua relevância deve ser regularmente aprovada e ratificada.

PO6.4 Distribuição da Política

Assegurar que as políticas de TI sejam impostas e distribuídas para todo o pessoal relevante, se consolidando e sendo parte integrante das operações corporativas.

PO6.5 Comunicação dos Objetivos e Diretrizes de TI

Comunicar visando a conscientização e entendimento dos objetivos e direcionamentos de negócios e TI de todas as partes interessadas e usuários apropriados na organização.

PO7 Gerenciar os Recursos Humanos de TI

PO7.1 Recrutamento e Retenção de Pessoal

Assegurar que os processos de recrutamento de pessoal estejam alinhados com as políticas e os procedimentos de pessoal da organização (por exemplo, admissão, ambiente de trabalho positivo e orientação). Implementar processos para assegurar que a organização tenha uma força de trabalho de TI apropriada e com as habilidades necessárias para atingir os objetivos da organização.

PO7.2 Competências Pessoais

Verificar regularmente se o pessoal tem as competências necessárias para exercer suas funções com base na formação, no treinamento e/ou na experiência. Definir os requisitos centrais de competência em TI e verificar se estão sendo mantidos através de programas de qualificação e certificação onde apropriado.

PO7.3 Preenchimento de Vagas

Definir, monitorar e supervisionar funções, responsabilidades e estrutura de compensação do pessoal, incluindo a necessidade de adesão aos processos e políticas do gerenciamento, ao código de ética profissional e às práticas profissionais. O nível de supervisão deve estar alinhado com a importância da posição e a extensão das responsabilidades atribuídas.

PO7.4 Treinamento do Pessoal

Prover ao pessoal de TI treinamento apropriado para manter conhecimento, especializações, habilidades, conscientização sobre controles internos e segurança no nível exigido para atingir os objetivos organizacionais.

PO7.5 Dependência de Indivíduos

Minimizar a exposição à dependência crítica de pessoas-chave através de captação do conhecimento (documentação), compartilhamento de conhecimento, planejamento da sucessão e desenvolvimento de possíveis substitutos para o papel e a função determinados.

PO7.6 Procedimentos de Liberação de Pessoal

Incluir análise de antecedentes no processo de recrutamento de TI. A extensão e a frequência de revisão periódica dessas análises dependem da confidencialidade e/ou da importância da função e devem ser aplicadas aos funcionários, prestadores de serviço e fornecedores.

PO7.7 Avaliação de Desempenho Profissional

Exigir periodicamente a realização de avaliação dos objetivos individuais derivados dos objetivos da organização, padrões estabelecidos e responsabilidades específicas do cargo. Os funcionários devem receber orientação de desempenho e conduta sempre que apropriado.

PO7.8 Mudança e Desligamento de Cargo

Deliberar ações expedientes conforme mudanças de cargo, especialmente no caso de desligamentos. A transferência de conhecimento precisa ser providenciada, as responsabilidades redistribuídas e os direitos de acesso eliminados, para que os riscos sejam minimizados e seja assegurada a continuidade da função.

PO8 Gerenciar a Qualidade

Deve ser desenvolvido e mantido um sistema de gestão da qualidade, que inclua padrões e processos comprovados de desenvolvimento e aquisição. Isso é feito através de planejamento, implementação e manutenção de um sistema de gestão de qualidade que gere requisitos, procedimentos e políticas de qualidade claros. Requisitos de qualidade devem ser definidos e comunicados em indicadores quantificáveis e atingíveis. A melhoria contínua pode ser alcançada por constante monitoramento, análise e atuação sobre desvios e na comunicação dos resultados às partes interessadas. A gestão da qualidade é essencial para assegurar que a TI esteja fornecendo valor para o negócio, melhoria contínua e transparência para as partes interessadas.

PO8.1 Sistema de Gerenciamento de Qualidade (SGQ)

Estabelecer e manter um SGQ que forneça uma abordagem padronizada, formal e contínua de gerenciamento da qualidade e alinhada com os requisitos de negócios. O SGQ identifica os requisitos e critérios de qualidade, processos-chave de TI (incluindo sequência e interação), políticas, critérios e métodos para definir, detectar, corrigir e prevenir não-conformidades. O SGQ deve definir a estrutura organizacional para a gestão da qualidade, abrangendo papéis, tarefas e responsabilidades. Todas as áreas-chave desenvolvem seus planos de qualidade em linha com os critérios e políticas e mantêm um histórico dos dados. Monitorar e medir a efetividade e a aceitação do SGQ e melhorá-lo quando necessário.

PO8.2 Padrões e Práticas de Qualidade de TI

Identificar e manter práticas, procedimentos e padrões para os processos-chave de TI de forma a orientar a organização para alcançar as intenções do SGQ. Utilizar as melhores práticas da indústria como referência na melhoria e personalização das práticas de qualidade da organização.

PO8.3 Padrões de Desenvolvimento e Aquisição

Adotar e manter padrões para todos os desenvolvimentos e aquisições que sigam o ciclo de vida da entrega final e incluir liberações formais para os marcos-chave (milestones) de acordo com critérios de aceitação definidos. Questões a considerar incluem padrões de codificação, convenção de nomes, formato de arquivos, padrões de projeto de arquitetura e dicionário de dados, padrões de interface de usuário, interoperabilidade, eficiência no desempenho de sistemas, escalabilidade, padrões de desenvolvimento e testes, validações comparadas com requisitos, planos de teste, testes unitários, testes de regressão e testes integrados.

PO8.4 Foco no Cliente

Assegurar que a gestão de qualidade tenha como foco o cliente determinando seus requisitos e os mantenha alinhados com os padrões e práticas de TI. Papéis e responsabilidades definidos para a resolução de conflitos entre usuário/cliente e a organização de TI.

PO8.5 Melhoria Contínua

Um plano geral de qualidade que promove a melhoria continua é mantido e comunicado regularmente.

PO8.6 Medição, Monitoramento e Revisão da Qualidade

Definir, planejar e implementar métricas para monitorar continuamente o atendimento ao SGQ, bem como o valor que o SGQ fornece. Medição, monitoramento e armazenamento de informações devem ser utilizados pelo proprietário do processo para tomar medidas corretivas e preventivas.


PO9 Avaliar e Gerenciar os Riscos de TI

Criar e manter uma estrutura de gestão de risco. Esta estrutura documenta um nível comum e acordado de riscos de TI, estratégias de mitigação e riscos residuais. Qualquer impacto em potencial nos objetivos da empresa causado por um evento não planejado deve ser identificado, analisado e avaliado. Estratégias de mitigação de risco devem ser adotadas para minimizar o risco residual a níveis aceitáveis. O resultado da avaliação deve ser entendido pelas partes interessadas e expresso em termos financeiros para permitir que as partes interessadas alinhem o risco a níveis de tolerância aceitáveis.

PO9.1 Alinhamento da gestão de riscos de TI e de Negócios

Estabelecer uma estrutura de gestão de riscos de TI alinhada com a estrutura de gestão de riscos da organização (corporação).

PO9.2 Estabelecimento do Contexto de Risco

Estabelecer o contexto ao qual a estrutura de avaliação de risco é aplicada para assegurar resultados esperados. Isso inclui a definição dos contextos interno e externo de cada avaliação de risco, o objetivo da avaliação e os critérios pelos quais os riscos são avaliados.

PO9.3 Identificação de Eventos

Identificar eventos (importante ameaça real que explora significativas vulnerabilidades) com potencial impacto negativo nos objetivos ou nas operações da organização, incluindo aspectos de negócios, regulamentação, aspectos jurídicos, tecnologia, parcerias de negócio, recursos humanos e operacionais. Determinar a natureza do impacto e manter esta informação. Registrar e manter um histórico dos riscos relevantes.

PO9.4 Avaliação de Risco

Avaliar regularmente a probabilidade e o impacto de todos os riscos identificados, utilizando métodos qualitativos e quantitativos. A probabilidade e o impacto associado ao risco inerente e residual devem ser determinados individualmente, por categoria e com base no portfólio da organização.

PO9.5 Resposta ao Risco

Desenvolver e manter um processo de respostas a riscos para assegurar que controles com uma adequada relação custo-benefício mitiguem a exposição aos riscos de forma contínua. O processo de resposta ao risco deve identificar estratégias de risco, tais como evitar, reduzir, compartilhar ou aceitar o risco, determinar responsabilidades, e considerar os níveis de tolerância definidos.

PO9.6 Manutenção e Monitoramento do Plano de Ação de Risco

Priorizar e planejar as atividades de controle em todos os níveis da organização para implementar as respostas aos riscos identificadas como necessárias, incluindo a identificação de custos, benefícios e responsabilidade pela execução. Obter aprovações para ações recomendadas e aceitação de quaisquer riscos residuais e assegurar que as ações aprovadas sejam assumidas pelos donos dos processos afetados. Monitorar a execução dos planos e reportar qualquer desvio para a Alta Direção.


PO10 Gerenciar Projetos

Estabelecer um programa e uma estrutura de gestão de projeto para o gerenciamento de todos os projetos de TI. Essa estrutura deve assegurar a correta priorização e a coordenação de todos os projetos. A estrutura deve incluir um plano mestre, atribuição de recursos, definição dos resultados a serem entregues, aprovação dos usuários, uma divisão por fases de entrega, garantia da qualidade, um plano de teste formal e uma revisão pós-implementação para assegurar a gestão de risco do projeto e a entrega de valor para o negócio. Esta abordagem reduz o risco de custos inesperados e de cancelamentos de projeto, aperfeiçoa a comunicação, melhora o envolvimento das áreas de negócio e dos usuários finais, assegura o valor e a qualidade dos resultados do projeto e maximiza a contribuição para os programas de investimentos em TI.


PO10.1 Estrutura de Gestão de Programas

Manter o programa de projetos (relacionados ao portfólio de programas de investimentos em TI) identificando, definindo, avaliando, priorizando, selecionando, iniciando, gerenciando e controlando projetos. Assegurar que os projetos sustentem os objetivos dos programas. Coordenar as atividades e interdependências de múltiplos projetos, gerenciar a contribuição de todos os projetos de um programa para os resultados esperados e resolver requisitos e conflitos de recursos.

PO10.2 Estrutura de Gestão de Projetos

Estabelecer e manter uma estrutura de gestão de projetos que defina o escopo e a abrangência dos projetos gerenciados, bem como os métodos a serem adotados e aplicados a cada projeto iniciado. A estrutura e as metodologias de suporte devem ser integradas aos processos de gerenciamento de programas.

PO10.3 Abordagem da Gestão de Projetos

Estabelecer uma abordagem de gestão de projetos adequada ao tamanho, à complexidade e aos requisitos regulatórios de cada projeto. A estrutura de governança de projeto deve incluir os papéis, as responsabilidades e o acompanhamento dos resultados do patrocinador do programa, patrocinador do projeto, comitê diretor, coordenador e gerente do projeto e os mecanismos pelos quais eles podem cumprir com essas responsabilidades (como relatórios e revisões de estágios do projeto). Assegurar que todos os projetos de TI tenham patrocinadores com autoridade suficiente para serem seus proprietários dentro do programa estratégico geral.

PO10.4 Comprometimento das Partes Interessadas

Obter comprometimento e participação das partes interessadas afetadas na definição e na execução do projeto dentro do contexto do programa de investimento geral de TI.

PO10.5 Declaração do Escopo do Projeto

Definir e documentar a natureza e o escopo do projeto, visando confirmar e desenvolver um entendimento comum do escopo do projeto com as partes interessadas e quanto ao relacionamento com outros projetos de um programa de investimento em TI. A definição deve ser formalmente aprovada pelo patrocinador do programa e pelo patrocinador do projeto antes de seu início. 

PO10.6 Fase de Início do Projeto

Assegurar que a fase de início do projeto seja formalmente aprovada e comunicada a todas as partes interessadas. A aprovação da fase de início deve ser baseada nas decisões da governança do programa. A aprovação das fases subsequentes deve ser baseada na revisão e na aceitação dos resultados entregues da fase anterior e na aprovação de um estudo de caso atualizado na próxima revisão geral do programa. No caso de uma sobreposição de fases, deve ser estabelecido um ponto de aprovação pelos patrocinadores
do programa e do projeto para autorizar a continuidade.

PO10.7 Plano Integrado de Projeto

Estabelecer um plano integrado de projeto formalizado e aprovado (que abranja recursos de negócio e de sistemas de informação) para orientar a execução e o controle em todas as etapas do projeto. As atividades e interdependências de múltiplos projetos dentro de um programa devem ser entendidas e documentadas. O plano de projeto deve passar por manutenção durante todas as etapas do projeto. O plano de projeto e as alterações feitas nele devem ser aprovados de acordo com a estrutura de governança do programa e do projeto.

PO10.8 Recursos do Projeto

Definir responsabilidades, relacionamentos, autoridades e critérios de desempenho para os membros da equipe de projeto e especificar a base de aquisição e atribuição de funcionários e/ou prestadores de serviço competentes para o projeto. A contratação de produtos e serviços necessários para cada projeto deve ser planejada e gerenciada para atingir os objetivos do projeto utilizando as práticas de contratação da organização.

PO10.9 Gestão de Risco do Projeto

Eliminar ou minimizar riscos específicos associados a cada projeto através de um processo sistemático de planejamento, identificação, análise, resposta, monitoramento e controle de áreas ou eventos com potencial para causar mudanças indesejadas. Os riscos identificados pelo processo de gestão de projeto e os resultados esperados do projeto devem ser estabelecidos e centralmente registrados.

PO10.10 Plano de Qualidade de Projeto

Preparar um plano de gestão de qualidade que descreva o sistema de qualidade de projeto e como será implementado. O plano deve ser formalmente revisado e aceito por todas as partes envolvidas e então incorporado ao plano integrado de projeto. 

PO10.11 Controle de Mudança de Projeto

Estabelecer um sistema de controle de mudança para cada projeto, de forma que todas as mudanças feitas no escopo original do projeto (como custo, cronograma, escopo e qualidade) sejam devidamente revisadas, aprovadas e incorporadas ao plano de projeto integrado em alinhamento com a estrutura de governança de programa e projeto.

PO10.12 Planejamento de métodos de validação

Identificar as atividades necessárias para suportar a validação de novos sistemas (ou suas modificações) durante o planejamento do projeto e incluí-las no plano integrado do projeto. As tarefas devem assegurar que os controles internos e aspectos de segurança atendam aos requisitos definidos.

PO10.13 Medição de Desempenho, Monitoramento e Reporte do Projeto

Avaliar o desempenho do projeto em comparação com critérios-chave (como escopo, cronograma, qualidade, custo e risco).  Identificar qualquer desvio do plano. Avaliar o impacto dos desvios sobre o projeto e o programa. Reportar os resultados às principais partes interessadas. Recomendar, implementar e monitorar ações corretivas quando necessárias, em alinhamento com a estrutura de governança de projeto e programa.

PO10.14 Conclusão do Projeto

Exigir que, ao final de cada projeto, as partes interessadas apurem se o projeto gerou os resultados e benefícios planejados. Identificar e comunicar quaisquer atividades de destaque necessárias para obter os resultados esperados do projeto e os benefícios do programa. Identificar e documentar as lições aprendidas para usá-las em projetos e programas futuros.


AI1 Identificar Soluções Automatizadas

A necessidade de uma nova aplicação ou função requer uma análise prévia à aquisição ou ao desenvolvimento para assegurar que os requisitos de negócio sejam atendidos através de uma abordagem eficaz e eficiente. Este processo contempla a definição das necessidades, considera fontes alternativas, a revisão de viabilidade econômica e tecnológica, a execução das análises de risco e de custo-benefício e a obtenção de uma decisão final por “desenvolver” ou “comprar”. Todos esses passos permitem às organizações minimizar os custos de aquisição e implementação de soluções e permitem ao negócio alcançar seus objetivos. 

AI1 Definição e Manutenção de Requisitos Técnicos e Funcionais de Negócio

Identificar, priorizar, especificar e pactuar os requisitos técnicos e funcionais do negócio cobrindo todo escopo de todas as iniciativas necessárias para obter os resultados esperados do programa de investimentos em TI.

AI1.2 Relatório de Análise de Risco

Identificar, documentar e analisar os riscos associados aos requisitos de negócio e desenho de soluções como parte do processo de desenvolvimento dos requisitos da organização.

AI1.3 Estudo de Viabilidade e Formulação de Ações Alternativas

Desenvolver um estudo de viabilidade que examine a possibilidade de implementar os requisitos. O gerenciamento de negócios, suportado pela área de TI, deve avaliar a viabilidade e as ações alternativas e fazer recomendações ao patrocinador do negócio.

AI1.4 Decisão e Aprovação de Requisitos e Estudo de Viabilidade

O patrocinador do negócio aprova e sinaliza os requisitos técnicos e funcionais do negócio, bem como os relatórios de estudo de viabilidade em estágios-chave predeterminados. O patrocinador do negócio toma a decisão final quanto à escolha da solução e à forma de aquisição.

AI2 Adquirir e Manter Software Aplicativo

As aplicações devem ser disponibilizadas em alinhamento com os requisitos do negócio. Este processo contempla o projeto das aplicações, a inclusão de controles e requisitos de segurança apropriados, o desenvolvimento e a configuração de acordo com padrões. Isso permite às organizações apoiarem de forma adequada as operações do negócio com as aplicações corretas.

A12.1 Projeto em Nível Macro

Traduzir os requisitos de negócio em especificações de projeto em nível macro para o desenvolvimento de software, levando em consideração o direcionamento tecnológico e a arquitetura de informação da organização. O gerenciamento deve aprovar as especificações de projeto para assegurar que o projeto de alto nível atenda aos requisitos. Reavaliar quando ocorrer discrepâncias técnicas ou lógicas significativas durante o desenvolvimento ou a manutenção.

AI2.2 Projeto Detalhado

Detalhar requisitos técnicos e de projeto dos softwares aplicativos. Definir os critérios de aceitação dos requisitos. Aprovar os requisitos para assegurar que eles correspondam ao projeto em nível macro. Reavaliar quando ocorrer discrepâncias técnicas ou lógicas significativas durante o desenvolvimento ou a manutenção.

AI2.3 Controle e Auditabilidade do Aplicativo

Assegurar que os controles de negócio sejam expressos adequadamente nos controles dos aplicativos de forma que o processamento ocorra no prazo correto e seja exato, completo, autorizado e auditável.

AI2.4 Segurança e Disponibilidade do Aplicativo

Considerar os requisitos de segurança e disponibilidade em resposta aos riscos identificados e em linha com a classificação de dados, a arquitetura de segurança da informação e o perfil de tolerância a riscos da organização.

AI2.5 Configuração e Implementação de Software Aplicativo Adquirido

Customizar e implementar as funcionalidades automatizadas adquiridas para alcançar os objetivos de negócios.

AI2.6 Principais Atualizações dos Sistemas Existentes

Seguir um processo de desenvolvimento similar ao de desenvolvimento de novos sistemas quando ocorrer grandes mudanças nos sistemas existentes que possam resultar em mudanças significativas nos projetos e/ou funcionalidades atuais.

AI2.7 Desenvolvimento de Software Aplicativo

Assegurar que as funcionalidades automatizadas sejam desenvolvidas em conformidade com as especificações de projeto, padrões de desenvolvimento e documentação e requisitos de qualidade e de autorização. Assegurar que todos os aspectos contratuais e legais sejam identificados e considerados nos softwares aplicativos desenvolvidos por terceiros.

AI2.8 Garantia de Qualidade de Software

Desenvolver e executar o plano de garantia de qualidade de software para obter a qualidade especificada na definição dos requisitos de projeto e nos procedimentos e políticas de qualidade da organização.

AI2.9 Gestão dos Requisitos das Aplicações

Acompanhar a situação individual dos requisitos (incluindo todos os requisitos rejeitados) durante o desenho, o desenvolvimento e a implementação e garantir que as mudanças nos requisitos sejam aprovadas através de um processo de gerenciamento de mudanças.

AI2.10 Manutenção de Software Aplicativo

Desenvolver a estratégia e o plano de manutenção de software aplicativo.

AI3 Adquirir e Manter Infraestrutura de Tecnologia

As organizações devem ter processos de aquisição, implementação e atualização da infraestrutura de tecnologia. Isso requer uma abordagem planejada de aquisição, manutenção e proteção da infraestrutura em alinhamento com as estratégias tecnológicas acordadas e o fornecimento de ambientes de desenvolvimento e teste. Isso assegura um apoio tecnológico contínuo às aplicações de negócio.

AI3.1 Plano de Aquisição de Infraestrutura Tecnológica

Preparar um plano para aquisição, implementação e manutenção da infraestrutura tecnológica que satisfaça aos requisitos técnicos e funcionais estabelecidos do negócio e esteja de acordo com a direção tecnológica da organização.

AI3.2 Infraestrutura de Recursos, Proteção e Disponibilidade

Implementar controles internos, medidas de segurança e auditabilidade durante a configuração, integração e manutenção de hardware e software da infraestrutura para proteger os recursos e assegurar disponibilidade e integridade. As responsabilidades pela utilização de componentes críticos devem ser claramente definidas e entendidas por aqueles que desenvolvem e integram os componentes da infraestrutura. Seu uso deve ser monitorado e avaliado.

AI3.3 Manutenção da Infraestrutura

Desenvolver uma estratégia e um plano para manutenção da infraestrutura e assegurar que as mudanças sejam controladas em alinhamento com os procedimentos de gerenciamento de mudança da organização. Incluir revisão periódica com base nas necessidades dos negócios, gerenciamento de correções e estratégias de atualização, análise de riscos, vulnerabilidades e requisitos de segurança.

AI3.4 Viabilidade do Ambiente de Teste

Estabelecer um ambiente de desenvolvimento e de teste para proporcionar eficiência e eficácia nos testes de viabilidade e integração dos componentes da infraestrutura.

AI4 Habilitar Operação e Uso

Conhecimento sobre novos sistemas deve estar disponível. Este processo requer a elaboração de documentação e manuais para usuários e para TI e a promoção de treinamentos para assegurar a operação e uso apropriado das aplicações e infraestrutura.

AI4 Habilitar Operação e Uso

AI4.1 Planejamento para Soluções Operacionais Desenvolver um plano para identificar e documentar todos os aspectos técnicos, a capacidade operacional e os níveis de serviços necessários para que todos que irão operar, utilizar e manter as soluções automatizadas possam exercer suas responsabilidades.

AI4.2 Transferência de Conhecimento ao Gerenciamento do Negócio

Transferir o conhecimento ao gerenciamento do negócio para permitir que este assuma a propriedade do sistema e dados, bem como exerça suas responsabilidades nos processos de entrega, qualidade de serviço, controles internos e administração da aplicação.

AI4.3 Transferência de Conhecimento aos Usuários Finais

Transferir conhecimento e habilidades para permitir aos usuários o uso efetivo e eficiente dos sistemas aplicativos que sustentam processos de negócio.

AI4.4 Transferência de Conhecimento às Equipes de Operações e Suporte

Transferir conhecimento e habilidades para permitir que as equipes de operações e suporte técnico entreguem, suportem e mantenham os sistemas e a infraestrutura associada de forma eficaz e eficiente

AI5 Adquirir Recursos de TI

Recursos de TI, incluindo pessoas, hardware, software e serviços precisam ser adquiridos. Isso requer a definição e a aplicação de procedimentos de aquisição, a seleção de fornecedores, o estabelecimento de arranjos contratuais e a aquisição propriamente dita.
Assim assegura-se que a organização tenha todos os recursos de TI necessários a tempo e com boa relação custo-benefício.

AI5.1 Controle de Aquisição

Desenvolver e acompanhar um conjunto de procedimentos e padrões consistentes com o processo e a estratégia corporativa de aquisição para assegurar que a aquisição de infraestrutura, instalações, hardware, software e serviços satisfaça aos requisitos de negócio.

AI5.2 Gerenciamento de Contratos de Fornecedores

Instituir um procedimento para estabelecer, modificar e rescindir contratos com todos os fornecedores. O procedimento deve contemplar no mínimo as formalidades legais, financeiras, organizacionais, documentais, de desempenho, de segurança e de propriedade intelectual e as responsabilidades e obrigações legais em casos de cancelamento (incluindo cláusulas de penalidades). Todos os contratos e as respectivas alterações devem ser revisados por consultores legais.

AI5.3 Seleção de Fornecedores

Selecionar fornecedores de acordo com a prática formal e justa que assegure a melhor opção viável com base nos requisitos definidos a partir de informações dadas por fornecedores em potencial e acordadas entre fornecedores e clientes.

AI5.4 Aquisição de Recursos de TI

Garantir que os interesses da organização sejam protegidos em todos os contratos de aquisição. Incluir e impor os direitos e as obrigações de todas as partes nos termos contratuais de aquisição de software, desenvolvimento de recursos, infraestrutura e serviços.

AI6 Gerenciar Mudanças

Todas as mudanças, incluindo manutenções e correções de emergência, relacionadas com a infraestrutura e as aplicações no ambiente de produção são formalmente gerenciadas de maneira controlada. As mudanças (incluindo procedimentos, processos, parâmetros de sistemas e de serviço) devem ser registradas, avaliadas e autorizadas antes da implementação e revisadas em seguida, tendo como base os resultados efetivos e planejados. Isso assegura a mitigação de riscos de impactos negativos na estabilidade ou na integridade do ambiente de produção.

AI6.1 Padrões e Procedimentos de Mudança

Estabelecer procedimentos formais de gerenciamento de mudanças para lidar de modo padronizado com todas as solicitações de mudança em aplicações, procedimentos, processos, parâmetros de sistema, parâmetros de serviço e plataformas subjacentes (inclusive solicitações de manutenção e reparo).

AI6.2 Avaliação de Impacto, Priorização e Autorização

Avaliar todas as solicitações de mudança de modo estruturado com relação a impactos no sistema operacional e na respectiva funcionalidade. Assegurar que todas as mudanças sejam categorizadas, priorizadas e autorizadas.

AI6.3 Mudanças de Emergência

Estabelecer um processo para definição, solicitação, testes, documentação, avaliação e autorização de mudanças de emergência que não sigam o processo de mudança estabelecido.

AI6.4 Acompanhamento de Status e Relatórios de Mudanças

Estabelecer um sistema de acompanhamento e relatórios de mudanças para documentar mudanças rejeitadas, comunicar o status de mudanças aprovadas e em andamento e executar mudanças. Garantir que as mudanças autorizadas sejam implementadas conforme
planejado.

AI6.5 Finalização da Mudança e Documentação

Atualizar a documentação os procedimentos do sistema e de usuários sempre que forem implementadas mudanças no sistema.

AI7 Instalar e Homologar Soluções e Mudanças

Novos sistemas precisam ser colocados em operação uma vez concluído seu desenvolvimento. É necessária a realização de testes apropriados em um ambiente dedicado, com dados de teste relevantes, definição de instruções de implantação e migração, planejamento de liberação e mudanças no ambiente de produção e uma revisão pós-implementação. Isso assegura que os sistemas operacionais estejam alinhados com as expectativas e os resultados acordados.

AI7.1 Treinamento

Treinar a equipe dos departamentos usuários envolvidos e as equipes de operações de TI de acordo com o plano de implementação e treinamento definido e os materiais associados, como parte de todos os projetos de desenvolvimento, implementação ou modificação de sistemas de informação.

AI7.2 Plano de Teste

Estabelecer um plano de teste baseado nos padrões organizacionais que definem papéis, responsabilidades e critérios de sucesso de entrada e saída. Assegurar que o plano seja aprovado pelas partes relevantes.

AI7.3 Plano de Implementação

Estabelecer um plano de implementação e de retorno à configuração anterior. Obter aprovação de todas as partes relevantes.

AI7.4 Ambiente de Testes

Estabelecer um ambiente de testes seguro que reflita o ambiente de operações planejado no que diz respeito a segurança, controles internos, práticas operacionais, exigências de qualidade e confidencialidade e cargas de trabalho.

AI7.5 Conversão de Dados e Sistemas

Planejar a conversão de dados e a migração da infraestrutura como parte dos métodos de desenvolvimento da organização, incluindo trilhas de auditoria, procedimentos de retorno à situação anterior e de recuperação de falhas.

AI7.6 Teste de Mudanças

Assegurar que as mudanças sejam testadas de maneira independente e de acordo com o plano de testes definido antes da migração para o ambiente de produção.

AI7.7 Teste de Aceitação Final

Assegurar que o gerenciamento do departamento usuário e da área de TI avalie o resultado do processo de testes como determinado no plano de testes. Corrigir erros significativos identificados no processo de testes, executar todos os testes listados no plano de testes, bem como qualquer teste de regressão necessário. Após a avaliação, aprovar a promoção para a produção.

AI7.8 Promoção para a Produção

Após a conclusão dos testes, controlar a transferência dos sistemas alterados para operação, de acordo com o plano de implementação. Obter a aprovação das partes interessadas, como usuários, proprietário do sistema e gerência operacional. Quando  apropriado, executar o sistema em paralelo com o sistema antigo durante um período e comparar comportamento/resultados.

AI7.9 Revisão pós-implementação

Estabelecer procedimentos em linha com o gerenciamento de mudanças organizacionais para garantir a realização da revisão pós-implementação, conforme definido no plano de implementação.


DS1 Definir e Gerenciar Níveis de Serviço

A comunicação eficaz entre a Direção de TI e os clientes de negócio sobre os serviços necessários é possibilitada por um acordo definido e documentado que aborda os serviços de TI e os níveis de serviço esperados. Este processo também inclui monitoramento e relatório oportuno às partes interessadas quanto ao atendimento dos níveis de serviço. Este processo permite o alinhamento entre os serviços de TI e os respectivos requisitos do negócio.

DS1.1 Estrutura de Gestão de Níveis de Serviço

Definir um modelo que fornece um processo formalizado de gerenciamento de níveis de serviço entre o cliente e o provedor de serviço. Esse modelo mantém um contínuo alinhamento com os requisitos de negócio e suas prioridades e facilita um entendimento comum entre o cliente e o(s) provedor(es). A estrutura inclui processos para criar requisitos de serviço, definições de serviços, acordos de nível de serviço (SLAs), acordos de nível de operação (OLAs) e recursos financeiros. Esses atributos são organizados em um catálogo de serviços. A estrutura define a estrutura organizacional de gerenciamento do nível de serviço, contemplando os cargos, as tarefas e as responsabilidades dos clientes e dos provedores de serviços internos e externos.

DS1.2 Definição de Serviços

Basear as definições de serviços de TI nas características de serviços e requisitos do negócio, organizados e armazenados centralmente por meio da implementação de uma abordagem de catálogo/portfólio de serviços.

DS1.3 Acordos de Nível de Serviço

Definir e acordar os acordos de nível de serviço para todos os serviços críticos de TI com base nos requisitos do cliente e na capacidade de entrega por parte da TI. Isso abrange o comprometimento com o cliente, requisitos de suporte para atendimento aos serviços, métricas quantitativas e qualitativas de serviços aprovados pelas partes interessadas, garantia de recursos financeiros e acordos comerciais (caso aplicável), cargos e responsabilidades, inclusive a supervisão do SLA. 

Os itens a considerar são: disponibilidade, confiabilidade, desempenho, capacidade de crescimento, níveis de suporte, planejamento da continuidade, segurança e restrições quanto a demandas.

DS1.4 Acordos de Nível Operacional

Assegurar que os acordos de nível operacional (OLAs) expliquem como os serviços serão realizados tecnicamente de modo a apoiar o(s) SLA(s) adequadamente. Os acordos de nível operacional especificam os processos técnicos em termos compreensíveis para o provedor e podem apoiar diversos SLAs.

DS1.5 Monitoramento e Relatório de Realizações de Nível de Serviço

Monitorar continuamente os critérios de desempenho dos níveis de serviço especificados. Os relatórios devem ser disponibilizados em um formato compreensível às partes interessadas em termos de realização de níveis de serviço. As estatísticas de monitoramento são analisadas, e são tomadas medidas gerenciais para revelar as tendências negativas e positivas de cada serviço e dos serviços como um todo.

DS1.6 Revisão dos Acordos de Nível de Serviço e dos Contratos

Regularmente realizar análise crítica dos acordos de nível de serviço e dos contratos com provedores de serviço internos e externos para assegurar que sejam eficazes e atualizados e que as mudanças em requisitos tenham sido consideradas.

DS2 Gerenciar Serviços Terceirizados

A necessidade de assegurar que os serviços prestados por fornecedores satisfaçam aos requisitos do negócio requer um processo efetivo de gestão da terceirização. Esse processo é realizado definindo-se claramente os papéis, responsabilidades e expectativas nos acordos de terceirização bem como revisando e monitorando tais acordos quanto à efetividade e à conformidade. A gestão eficaz dos serviços terceirizados minimiza os riscos de negócio associados aos fornecedores que não cumprem seu papel.

DS2.1 Identificação do Relacionamento com Todos os Fornecedores

Identificar todos os serviços terceirizados e categorizá-los de acordo com o tipo, a importância e a criticidade. Manter documentação formal dos relacionamentos técnicos e organizacionais contemplando papéis e responsabilidades, metas, produtos esperados e as credenciais dos representantes desses fornecedores.

DS2.2 Gestão do Relacionamento com Fornecedores

Formalizar o processo de gestão do relacionamento com cada fornecedor. Os proprietários dos relacionamentos devem estabelecer ligação entre os clientes e os negócios dos fornecedores e garantir a qualidade do relacionamento com base na confiança e na transparência (por exemplo, através dos acordos de nível de serviço).

DS2.3 Gerenciamento de Riscos do Fornecedor

Identificar e minimizar os riscos relacionados à capacidade dos fornecedores de prestação efetiva de serviços de maneira contínua, segura e eficiente. Garantir que os contratos estejam em conformidade com os padrões universais de negócios de acordo com as exigências legais e regulamentares. O gerenciamento de riscos deve considerar acordos de confidencialidade (NDA), condições gerais e garantias dos contratos, viabilidade continuada do fornecedor, conformidade com requisitos de segurança, fornecedores alternativos, penalidades e gratificações etc.

DS2.4 Monitoramento de Desempenho do Fornecedor

Estabelecer um processo para monitorar a prestação do serviço de modo a assegurar que o fornecedor atenda aos requisitos atuais do negócio, obedecendo os contratos e acordos de nível de serviço firmados, e que seu desempenho seja competitivo com outros prestadores e condições do mercado.

DS3 Gerenciar o Desempenho e a Capacidade

A necessidade de gerenciar o desempenho e a capacidade dos recursos de TI requer um processo que realize análises críticas periódicas do desempenho e da capacidade atuais dos recursos de TI. Esse processo inclui a previsão de necessidades futuras com base em requisitos de carga de trabalho, armazenamento e contingência. Esse processo assegura que os recursos de informação que suportam os requisitos do negócio estejam sempre disponíveis.

DS3.1 Desempenho e Planejamento de Capacidade

Estabelecer um processo de planejamento para a realização de análise crítica do desempenho e da capacidade dos recursos de TI, de forma a assegurar que com custos justificáveis o desempenho e a capacidade estejam disponíveis para processar a carga de serviço acordada conforme determinam os acordos de nível de serviço. Os planos de capacidade e desempenho devem considerar técnicas de modelagem apropriadas para produzir modelos de capacidade e desempenho atuais e futuros de recursos de TI.

DS3.2 Capacidade e Desempenho Atuais

Realizar a análise crítica do desempenho e a capacidade atual dos recursos de TI de forma a determinar se existe capacidade e desempenho suficientes para atendimento conforme os níveis de serviço acordados.

DS3.3 Capacidade e Desempenho Futuros

Conduzir regularmente a previsão de desempenho e capacidade dos recursos de TI para minimizar o risco de interrupção de serviços devido a capacidade insuficiente ou degradação do desempenho. Identificar também o excesso de capacidade para possível remanejamento. Identificar as tendências de carga de trabalho e realizar previsões para orientar o plano de capacidade e desempenho.

DS3.4 Disponibilidade de Recursos de TI

Fornecer a capacidade e o desempenho necessários, levando em consideração aspectos como cargas normais de trabalho, contingências, requisitos de armazenamento e ciclos de vida de recurso de TI. Medidas devem ser tomadas quando o desempenho e a capacidade não estão alinhados com o nível necessário (por exemplo, priorizar tarefas, mecanismos de tolerância a falhas e práticas de alocação de recurso). A Direção deve assegurar que os planos de contingência viabilizem apropriadamente a disponibilidade, a capacidade e o desempenho de cada recurso de TI.

DS3.5 Monitoramento e Relatórios

Monitorar constantemente o desempenho e a capacidade dos recursos de TI. Os dados acumulados atendem a dois propósitos:

  • Manter e sintonizar o desempenho atual no ambiente de TI e tratar questões como capacidade de recuperação, contingência, cargas de trabalho atuais e previstas, planejamento de armazenamento e aquisição de recursos.
  • Relatar a disponibilidade de serviços prestados ao negócio conforme determinado pelos SLAs. Acompanhar todos os relatórios de exceções com recomendações de ações corretivas.

DS4 Assegurar a Continuidade dos Serviços

Prover a continuidade dos serviços de TI requer o desenvolvimento, manutenção e teste de um plano de continuidade de TI, armazenamento de cópias de segurança (backup) em instalações remotas (offsite) e realizar treinamentos periódicos do plano de continuidade. Um processo eficaz de continuidade de serviços minimiza a probabilidade e o impacto de uma interrupção de um serviço chave de TI nas funções e processos críticos de negócio.

DS4.1 Estrutura de Continuidade

Desenvolver um modelo para continuidade de TI a fim de apoiar o gerenciamento da continuidade do negócio de toda a empresa através de um processo consistente. O objetivo do modelo é apoiar na determinação das necessidades de capacitação em recuperação da infraestrutura e conduzir o desenvolvimento dos planos de contingência de TI e recuperação de desastres. O modelo deve orientar a estrutura organizacional quanto ao gerenciamento da continuidade, contemplando papéis, tarefas e responsabilidades dos provedores de serviço internos e externos, seus gerenciamentos, clientes e as regras e estruturas para documentar, testar e executar planos de recuperação de desastres e continuidade de TI. O plano também deve tratar fatores como identificação de recursos críticos, monitoramento e informe de disponibilidade de recursos críticos, processamento alternativo e princípios de cópia de segurança (backup) e recuperação.

DS4.2 Planos de Continuidade de TI

Desenvolver planos de continuidade de TI com base na estrutura e projetados para reduzir o impacto de uma grande interrupção de funções e processos de negócio fundamentais. Os planos devem ser baseados no entendimento do risco de possíveis impactos no negócio, contemplar os requisitos de capacidade de restabelecimento, processamento alternativo e capacidade de recuperação de todos os serviços críticos de TI. Também devem abranger manuais de uso, papéis, responsabilidades, procedimentos, processos de comunicação e abordagens de teste.

DS4.3 Recursos Críticos de TI

Dar atenção especial aos itens mais críticos no plano de continuidade de TI para assegurar a capacidade de restabelecimento e definir prioridades em situações de recuperação. Prevenir o desvio de atenção para os itens de recuperação menos críticos e assegurar resposta e recuperação em alinhamento com as necessidades de negócio de maior importância; ao mesmo tempo, assegurar que os custos sejam mantidos em um nível aceitável e em conformidade com os requisitos contratuais e regulamentares. Considerar a capacidade de restauração e os requisitos de resposta e recuperação em diferentes níveis (por exemplo, de 1 a 4 horas, de 4 horas a 24 horas, mais de 24 horas e os períodos operacionais de negócios críticos).

DS4.4 Manutenção do Plano de Continuidade de TI

Encorajar o gerenciamento de TI a definir e executar procedimentos de controle de mudança para assegurar que o plano de continuidade de TI seja mantido atualizado e reflita sempre os requisitos de negócios atuais. É essencial que as mudanças nos procedimentos e responsabilidades sejam comunicadas claramente e de forma oportuna.

DS4.5 Teste do Plano de Continuidade de TI

Testar o plano de continuidade de TI regularmente para assegurar que os sistemas de TI possam ser efetivamente recuperados, que desvios sejam tratados e que o plano se mantenha relevante. Para tanto, são necessários preparação cuidadosa, documentação, registro dos resultados dos testes e implementação de planos de ação de acordo com os resultados. Deve-se considerar estender o teste de recuperação apenas de aplicações isoladas a cenários de testes fim a fim integrados com fornecedores.

DS4.6 Treinamento do Plano de Continuidade de TI

Assegurar que todas as partes envolvidas recebam treinamento regular sobre os procedimentos, papéis e respectivas responsabilidades no caso de um incidente ou desastre. Verificar e intensificar o treinamento de acordo com os resultados dos teste de continuidade.

DS4.7 Distribuição do Plano de Continuidade

Definir e gerenciar uma estratégia de distribuição para assegurar que os planos sejam seguramente distribuídos e que estejam apropriadamente disponíveis às partes interessadas e autorizados quando e onde necessário. Toda atenção deve ser dispensada para tornar o plano acessível em todos os cenários de desastre.

DS4.8 Recuperação e Retomada dos Serviços de TI

Planejar as ações a serem executadas nos momentos de recuperação e retomada dos serviços de TI. Isto pode incluir ativação de backup sites, iniciação de processamento alternativo, comunicação para as partes interessadas e os clientes, procedimentos de retorno à produção etc. Assegurar que o negócio entenda o tempo de recuperação de TI e  os investimentos tecnológicos necessários para sustentar as necessidades de recuperação e retorno à produção.

DS4.9 Armazenamento de Cópias de Segurança em Locais Remotos

Armazenar remotamente todas as mídias de cópias de segurança críticas, documentação e outros recursos de TI necessários para a recuperação da TI e os planos de continuidade de negócio. O conteúdo armazenado nas cópias de segurança precisa ser determinado em colaboração entre os proprietários dos processos de negócio e o pessoal de TI. O gerenciamento das instalações de armazenamento remotas deve atentar para a política de classificação de dados e as práticas de armazenamento de mídias da empresa. O gerenciamento de TI deve assegurar que as condições dos locais de armazenamento remotos sejam periodicamente avaliadas, pelo menos anualmente, nos quesitos conteúdo, proteção ambiental e segurança. Assegurar a compatibilidade de hardware e software para restaurar os dados arquivados e testar e atualizar periodicamente os dados arquivados.

DS4.10 Revisão Pós-Retomada dos Serviços

Após a retomada bem-sucedida da função de TI depois de um desastre, determinar se o gerenciamento de TI tem procedimentos para avaliar a adequação do plano atual e realizar sua atualização, se necessário.


DS5 Garantir a Segurança dos Sistemas

Para manter a integridade da informação e proteger os ativos de TI, é necessário implementar um processo de gestão de segurança. Esse processo inclui o estabelecimento e a manutenção de papéis, responsabilidades, políticas, padrões e procedimentos de segurança de TI. A gestão de segurança inclui o monitoramento, o teste periódico e a implementação de ações corretivas das deficiências ou dos incidentes de segurança. A gestão eficaz de segurança protege todos os ativos de TI e minimiza o impacto sobre os negócios de vulnerabilidades e incidentes de segurança.

DS5.1 Gestão da Segurança de TI

Gerenciar a segurança de TI no mais alto nível organizacional da empresa de modo que a gestão das ações de segurança esteja em alinhamento com os requisitos de negócio.

DS5.2 Plano de Segurança de TI

Traduzir os requisitos de negócio, de risco e conformidade, em um plano abrangente de segurança de TI, que leve em consideração a infraestrutura de TI e a cultura de segurança. O plano deve ser implementado em políticas e procedimentos de segurança, juntamente com investimentos adequados em serviços, pessoal, software e hardware. Políticas e procedimentos de segurança devem ser comunicados aos usuários e partes interessadas.

DS5.3 Gestão de Identidade

Todos os usuários (internos, externos e temporários) e suas atividades nos sistemas de TI (aplicação de negócio, desenvolvimento, operação e manutenção de sistemas) devem ser identificáveis de modo exclusivo. Os direitos de acesso dos usuários aos sistemas e dados devem estar em conformidade com as necessidades dos negócios e com os requisitos da função definidos e documentados. Os direitos de acesso devem ser solicitados pela gestão de usuários, aprovados pelo proprietário do sistema e implementados pelo responsável pela segurança. As identidades e os direitos de acesso dos usuários devem ser mantidos em um repositório central. É necessário implementar e manter atualizadas medidas técnicas e de procedimentos com boa relação custo-benefício para determinar a identificação dos usuários, implementar a devida autenticação e impor direitos de acesso.

DS5.4 Gestão de Contas de Usuário

Assegurar que a solicitação, a emissão, a suspensão, a modificação e o bloqueio de contas de usuário e dos respectivos privilégios sejam tratados por procedimentos de gestão de contas de usuário. Incluir um procedimento de aprovação de concessão de direitos de acesso pelos proprietários dos dados ou sistemas. Esse procedimento deve ser aplicado a todos os usuários, inclusive aos administradores (usuários com privilégios), usuários internos e externos, para os casos normais ou emergenciais. Os direitos e obrigações relativos ao acesso a sistemas e informações corporativos devem ser definidos em contrato para todos os tipos de usuários. Devem ser feitas revisões frequentes de todas as contas e os respectivos privilégios.

DS5.5 Teste de Segurança, Vigilância e Monitoramento

Garantir que a implementação de segurança de TI seja testada e monitorada proativamente. A segurança de TI deve ser revalidada periodicamente para garantir que o nível de segurança aprovado seja mantido. A função de monitoramento e registro de eventos (logging) deve possibilitar a prevenção e/ou detecção prematura de atividades anormais e incomuns que precisem ser tratadas, bem como a subsequente geração de relatórios no tempo apropriado.

DS5.6 Definição de Incidente de Segurança

Definir e comunicar claramente as características de incidentes de segurança em potencial para que possam ser tratados adequadamente pelos processos de gestão de incidentes ou gestão de problemas.

DS5.7 Proteção da Tecnologia de Segurança

Garantir que as tecnologias de segurança importantes sejam invioláveis e que as documentações de segurança não sejam reveladas desnecessariamente.

DS5.8 Gestão de Chave Criptográfica

Assegurar que sejam estabelecidos políticas e procedimentos de geração, mudança, revogação, destruição, distribuição, certificação, armazenamento, inserção, uso e arquivamento das chaves criptográficas visando proteger contra sua modificação ou revelação pública não autorizada.

DS5.9 Prevenção, Detecção e Correção de Software Malicioso

Assegurar que medidas preventivas, de detecção e corretivas sejam estabelecidas corporativamente, em especial correções de segurança (patches) e controles de vírus, para proteger os sistemas de informação e tecnologias contra malwares (vírus, worms, spyware, spam.).

DS5.10 Segurança de Rede

Garantir que técnicas de segurança e procedimentos de gestão relacionados (como firewalls, aplicativos de segurança, segmentação de rede e detecção de intrusão) sejam utilizados para autorizar o acesso e controlar os fluxos de informação entre redes.

DS5.11 Comunicação de Dados Confidenciais

Assegurar que as transações de comunicação de dados confidenciais ocorram somente por um caminho confiável ou controlado de modo a fornecer autenticação de conteúdo, comprovante de envio, comprovante de recebimento e não-rejeição de origem.

DS6 Identificar e Alocar Custos

A necessidade de um sistema justo e equitativo de alocação de custo de TI para o negócio requer avaliação precisa dos custos de TI e acordo com os usuários do negócio sobre uma alocação razoável. Este processo contempla a construção e a operação de um sistema para capturar, alocar e reportar os custos de TI aos usuários dos serviços. Um sistema de alocação justo permite à empresa tomar decisões mais embasadas sobre o uso dos serviços.

DS6.1 Definição de Serviços

Identificar todos os custos de TI e associá-los aos serviços de TI, sustentando um modelo transparente de custeio. Os serviços de TI devem ser associados aos processos de negócio de forma que permita identificar os níveis de faturamento de serviço correspondentes.

DS6.2 Contabilidade de TI

Coletar e alocar os custos vigentes de acordo com o modelo de custo definido. Variações entre as previsões e os custos reais devem ser analisadas e relatadas em conformidade com os sistemas de medição financeira corporativos.

DS6.3 Modelagem de Custo e Cobrança

Com base na definição de serviço, definir um modelo de custo que considere os custos diretos, indiretos e gerais dos serviços e suporte o cálculo das taxas de cobrança por serviço. O modelo de custo deve estar alinhado aos procedimentos de contabilidade de custo corporativos. O modelo de custo de TI deve assegurar que a cobrança pelos serviços seja identificável, mensurável e previsível pelos usuários para incentivar o uso adequado dos recursos. O gestor de negócios deve ser capaz de verificar o uso real e a cobrança dos serviços.

DS6.4 Manutenção do Modelo de Custo

Realizar periodicamente análise crítica e comparação com referências do mercado (benchmarking) da adequação do modelo de custo/cobrança visando manter a relevância e a adequação aos negócios e às atividades de TI envolvidas.


DS7 Educar e Treinar os Usuários

A educação efetiva de todos os usuários de sistemas de TI, inclusive daqueles dentro da própria TI, requer a identificação das necessidades de treinamento de cada grupo de usuário. Como complemento à identificação dessas necessidades, esse processo compreende a definição e a execução de uma estratégia eficaz de treinamento e medição dos resultados. Um programa de treinamento eficaz aumenta o uso efetivo da tecnologia através da redução dos erros de usuário, aumento da produtividade e aumento da conformidade com os controles principais (como as medidas de segurança do usuário).

DS7.1 Identificação das Necessidades de Ensino e Treinamento

Estabelecer e atualizar regularmente um currículo para cada grupo-alvo de empregados, considerando:

  • As estratégias e necessidades atuais e futuras do negócio
  • Valor da informação como um bem
  • Os valores corporativos (valores éticos, cultura de segurança e controle etc.)
  • A implementação de nova infraestrutura de TI e softwares (pacotes e aplicações)
  • As habilidades, competências, certificação e atualizações necessárias
  • Os métodos de ministrar aulas (em sala de aula, via web), o tamanho do grupo-alvo, acessibilidade e tempo

DS7.2 Entrega de Treinamento e Ensino

Com base nas necessidades de ensino e treinamento identificadas, definir os grupos-alvo e seus membros, mecanismos adequados de ministrar os treinamentos, professores, instrutores e monitores. Indicar os instrutores e organizar as sessões de treinamento de forma oportuna. Registrar inscrições (incluindo pré-requisitos), frequência de participação e avaliações de desempenho.

DS7.3 Avaliação do Treinamento Recebido

Avaliar o conteúdo do ensino e do treinamento recebidos no que diz respeito a relevância, qualidade, efetividade, absorção e retenção do conhecimento, custo e valor. Os resultados dessa avaliação devem servir de base para a definição dos futuros currículos e sessões de treinamento.

DS8 Gerenciar a Central de Serviço e os Incidentes

A resposta efetiva e em tempo adequado a dúvidas e problemas dos usuários de TI requer uma central de serviço (service desk) e processos de gerenciamento de incidentes bem projetados e implementados. Esse processo inclui a implementação de uma central de serviços capacitada para o tratamento de incidentes, incluindo registro, encaminhamento, análise de tendências, análise de causa-raiz e resolução. Os benefícios ao negócio incluem aumento de produtividade por meio de resolução rápida dos chamados dos usuários. Complementarmente, as áreas de negócio podem tratar as causas-raiz (como treinamento deficiente de usuário), através de relatórios efetivos.

DS8 Central de Serviço

Estabelecer uma central de serviço, que é a interface entre o usuário e a TI, para registrar, comunicar, despachar e analisar todos os chamados, incidentes reportados, solicitações de serviços e demanda de informações. Devem existir procedimentos de monitoramento e encaminhamento com base em níveis de serviço acordados relativos ao SLA adequado que permita a classificação e a priorização de qualquer dúvida reportada como incidente, solicitação de serviço ou solicitação de informação. Medir a satisfação dos usuários finais com a qualidade da central de serviço e os serviços de TI.

DS8.2 Registro dos Chamados dos Clientes

Estabelecer uma função e um sistema que permitam o registro e o rastreamento de ligações, incidentes, solicitações de serviços e necessidade de informações. Deve trabalhar de perto com os processos de gerenciamento de incidentes, problemas, mudanças, capacidade e disponibilidade. Os incidentes devem ser classificados de acordo com as prioridades de negócio e serviço e direcionados à equipe adequada de gerenciamento de problemas. Os clientes devem ser mantidos informados sobre o status de seus chamados.

DS8.3 Escalonamento de Incidentes

Estabelecer os procedimentos da central de serviço para que os incidentes que não podem ser resolvidos imediatamente sejam adequadamente encaminhados, conforme os limites definidos no SLA, e soluções temporárias sejam implementadas, se aplicável. Assegurar que a propriedade e o monitoramento do ciclo de vida do incidente permaneçam com a central de serviço, independentemente do grupo de TI que esteja trabalhando nas atividades de resolução.

DS8.4 Encerramento de Incidente

Estabelecer procedimentos para o monitoramento periódico do encerramento de chamados de clientes. Quando o incidente foi resolvido, assegurar que a central de serviço registre os passos adotados para sua resolução e confirmar se as ações adotadas foram aceitas pelo cliente. Também registrar e relatar incidentes não solucionados (erros já conhecidos e alternativas existentes) para prover informações visando o adequado gerenciamento de problemas.

DS8.5 Relatórios e Análises de Tendências

Gerar relatórios de atividades da central de serviço, permitindo aos gestores medir o desempenho e o tempo de resposta dos serviços e identificar tendências ou problemas recorrentes, para que o serviço possa ser melhorado sempre.

DS9 Gerenciar a Configuração

Assegurar a integridade das configurações de hardware e software requer o estabelecimento e a manutenção de um repositório de configuração preciso e completo. Esse processo inclui a coleta inicial das informações de configuração, o estabelecimento de um perfil básico, a verificação e a auditoria das informações de configuração e a atualização do repositório de configuração conforme necessário.Um gerenciamento de configuração eficaz facilita uma maior disponibilidade do sistema, minimiza as questões de produção e soluciona problemas com mais rapidez.

DS9.1 Repositório de Configuração e Perfis Básicos

Estabelecer uma ferramenta de suporte e um repositório central para conter todas as informações relevantes sobre os itens de configuração. Monitorar e registrar todos os bens e as mudanças ocorridas neles. Manter um perfil básico de itens de configuração de todo sistema e serviço como um ponto de verificação seguro para eventual retorno após as mudanças.

DS9.2 Identificação e Manutenção dos Itens de Configuração

Implantar procedimentos de configuração para suportar a Direção e registrar todas as alterações no repositório de configurações. Integrar esses procedimentos com gerenciamento de mudanças, gerenciamento de incidentes e gerenciamento de problemas.

DS9.3 Revisão da Integridade de Configuração

Periodicamente revisar os dados de configuração para verificar e confirmar a integridade da configuração atual e histórica. Realizar análise crítica periódica da política de uso de software, verificando a eventual existência de software pessoal, não autorizado ou excedente ao contrato de licenças vigente. Erros e desvios devem ser reportados, tratados e corrigidos. 

DS10 Gerenciar Problemas

O efetivo gerenciamento de problemas requer identificação e classificação dos problemas, análise de causas-raiz e respectiva resolução. O processo de gerenciamento de problemas também contempla a identificação de recomendações para melhoria, manutenção dos registros de problemas e revisão da situação das ações corretivas. Um processo efetivo de gerenciamento de problemas melhora os níveis de serviço, reduz os custos e aumenta a conveniência e a satisfação do cliente.

DS10.1 Identificar e Classificar os Problemas

Implementar processos para reportar e classificar os problemas identificados como parte do gerenciamento de incidentes. Os passos envolvidos na classificação de problemas são similares aos passos da classificação de incidentes; eles servem para determinar a categoria, o impacto, a urgência e a prioridade. Os problemas devem ser classificados adequadamente em grupos ou domínios relacionados (por exemplo, hardware, software, suporte ao software). Esses grupos devem corresponder às responsabilidades organizacionais da base de clientes e usuários e servir de base para alocação dos problemas à equipe de suporte.

DS10.2 Rastreamento e Resolução de Problemas

O sistema de gerenciamento de problemas deve fornecer recursos de trilha de auditoria adequados que permitam o rastreamento, a análise e a identificação da causa-raiz de todos os problemas reportados, considerando:


  • Todos os itens de configuração associados
  • Os problemas e incidentes pendentes
  • Os erros conhecidos e suspeitos
  • Rastreamento de tendências de problemas

Identificar e iniciar solução sustentável, tratando a causa-raiz e apresentando solicitações de mudanças de acordo com o processo de gerenciamento de mudanças estabelecido. Através do processo de resolução, o gerenciamento de problemas deve obter reportes periódicos do gerenciamento de mudanças sobre o progresso da resolução de problemas e erros. O gerenciamento de problemas deve monitorar continuamente o impacto dos problemas e erros conhecidos nos serviços de usuários. No caso de impactos severos, o gerenciamento de problemas deve encaminhar o problema, talvez o apresentando ao grupo apropriado para aumentar a prioridade da requisição de mudança (RDM) ou implementar mudanças urgentes apropriadas. O andamento da solução do problema deve ser monitorado de acordo com os níveis de serviço acordados (SLAs).

DS10.3 Encerramento do Problema

Estabelecer um procedimento de encerramento dos registros de problemas tanto na confirmação da eliminação bem-sucedida de um erro conhecido quanto após um acordo com as áreas de negócio sobre como lidar com o problema de forma alternativa.

DS10.4 Integração de Gerenciamento de Mudanças, Configuração e Problemas

Integrar os processos de configuração e gerenciamento de problemas e incidentes para assegurar um gerenciamento efetivo de problemas e possibilitar melhorias no processo.

DS11 Gerenciar os Dados

O efetivo gerenciamento de dados requer a identificação dos requisitos de dados. O processo de gerenciamento de dados também contempla o estabelecimento de procedimentos efetivos para controlar a biblioteca de mídia, cópia de segurança (backup), recuperação de dados e a dispensa de mídias de forma adequada. O efetivo gerenciamento de dados ajuda a assegurar a qualidade, a rapidez e disponibilidade dos dados de negócio.

DS11.1 Requisitos de Negócio para o Gerenciamento de Dados 

Estabelecer arranjos para assegurar que todos os dados esperados sejam recebidos, processados de maneira completa, precisa e no tempo apropriado e que toda saída seja entregue de acordo com os requisitos de negócio. Suportar as necessidades de reinício e
reprocessamento.

DS11.2 Arranjos de Armazenamento e Retenção

Definir e implementar procedimentos para um efetivo e eficiente armazenamento de dados, retenção e arquivamento para atender aos objetivos de negócio, à política de segurança da organização e às exigências regulatórias.

DS11.3 Sistema de Gerenciamento de Biblioteca de Mídia

Definir e implementar procedimentos para manter um inventário de mídia local, assegurando sua usabilidade e integridade.

DS11.4 Descarte de Dados e Equipamentos

Definir e implementar procedimentos para assegurar que os requisitos de negócios sejam atendidos no que diz respeito à proteção de dados confidenciais e softwares quando dados e equipamentos são descartados ou transferidos.

DS11.5 Backup e Restauração

Definir e implementar procedimentos de cópia de segurança (backup) e restauração de sistemas, aplicativos, dados e documentação em alinhamento com os requisitos de negócio e o plano de continuidade.

DS11.6 Requisitos de Segurança para o Gerenciamento de Dados

Definir e estabelecer políticas e procedimentos para identificar e aplicar requisitos de segurança aplicáveis ao recebimento, processamento, armazenamento físico e saída de dados para atender aos objetivos de negócio, à política de segurança da organização e a exigências regulatórias.

DS12 Gerenciar o Ambiente Físico

A proteção de pessoas e equipamento de informática requer instalações físicas bem planejadas e gerenciadas. O processo de gerenciamento do ambiente físico inclui a definição dos requisitos do local físico, a escolha de instalações apropriadas, o projeto de processos eficazes de monitoramento dos fatores ambientais e o gerenciamento de acessos físicos. O gerenciamento eficaz do ambiente físico reduz as interrupções nos negócios provocadas por danos causados a equipamentos ou pessoas.

DS12.1 Seleção do Local e Layout

Definir e selecionar o local para os equipamentos de TI, considerando o alinhamento da estratégia de tecnológica com a estratégia de negócio. A seleção e o planejamento do layout de uma instalação física devem levar em consideração os riscos associados a possíveis desastres naturais e não naturais, bem como as leis e regulamentações relevantes, tais como regulamentações de saúde ocupacional e segurança do trabalho.

DS12.2 Medidas de Segurança Física

Definir e implementar medidas de segurança física alinhadas com os requisitos de negócio para proteger o local e os ativos físicos. As medidas de segurança física devem ser capazes de efetivamente prevenir, detectar e mitigar riscos relacionados a roubo, temperatura, fogo, fumaça, água, vibração, terrorismo, vandalismo, quedas de energia, produtos químicos ou explosivos.

DS12.3 Acesso Físico

Definir e implementar procedimentos para conceder, limitar e revogar o acesso a instalações, prédios e áreas de acordo com as necessidades do negócio, inclusive em situações de emergências. Os acessos a instalações, prédios e áreas devem ser justificados, autorizados, registrados e monitorados. Isso se aplica a todas as pessoas que acessam as instalações, inclusive ao pessoal fixo, funcionários temporários, clientes, vendedores, visitantes ou outros terceiros.

DS12.4 Proteção contra Fatores Ambientais

Projetar e implementar medidas de proteção contra fatores ambientais. Equipamentos e dispositivos especializados para monitorar e controlar o ambiente devem ser instalados.

DS12.5 Gerenciamento de Instalações Físicas

Gerenciar as instalações físicas, incluindo equipamentos de energia e comunicação, em alinhamento com leis e regulamentações, requisitos técnicos e de negócio, especificações dos fabricantes e distribuidores de equipamentos e diretrizes de segurança e saúde ocupacional.

DS13 Gerenciar as Operações

O processamento preciso e completo de dados requer um gerenciamento eficaz do processamento de dados e diligente manutenção de hardware. Este processo inclui a definição de políticas e procedimentos de operações para o gerenciamento eficaz do processamento agendado, proteção de resultados sigilosos, monitoramento de infraestrutura e manutenção preventiva de hardware. O efetivo gerenciamento de operações ajuda a manter a integridade dos dados e reduzir atrasos e custos de operação de TI.

DS13.1 Procedimentos e Instruções de Operações

Definir, implementar e manter procedimentos padronizados para as operações de TI e assegurar que a equipe de operações esteja familiarizada com todas as atividades operacionais relevantes. Os procedimentos operacionais devem abranger a mudança de turnos (passagem formal das atividades, atualização de informações, problemas operacionais, procedimentos de escalação e relatórios das responsabilidades atuais) para assegurar o nível de serviço acordado e a continuidade das operações.

DS13.2 Agendamento de Jobs

Organizar o agendamento de jobs, processos e tarefas na sequência mais eficiente, maximizando o processamento e a utilização para atender aos requisitos do negócio.

DS13.3 Monitoramento da Infraestrutura de TI

Definir e implementar procedimentos para monitorar a infraestrutura de TI e eventos relacionados. Assegurar que informações cronológicas suficientes estejam sendo armazenadas em registros operacionais para permitir a reconstrução, a revisão e a análise das sequências de operações e outras atividades pertinentes ou de apoio às operações.

DS13.4 Documentos Confidenciais e Dispositivos de Saída

Estabelecer proteção física apropriada, práticas de controle e gerenciamento de inventário sobre ativos críticos de TI como formulários especiais, documentos de negociação, impressoras de finalidades especiais ou códigos de segurança.

DS13.5 Manutenção Preventiva de Hardware

Definir e implementar procedimentos para assegurar a manutenção da infraestrutura em tempo hábil para reduzir a frequência e o impacto de falhas ou degradação de desempenho.


ME1 Monitorar e Avaliar o Desempenho de TI

A gestão eficaz de desempenho de TI exige um processo de monitoramento. Esse processo inclui a definição de indicadores de desempenho relevantes, informes de desempenho sistemáticos e oportunos e uma pronta ação em relação aos desvios encontrados. O monitoramento é necessário para assegurar que as atividades corretas estejam sendo feitas e que estejam em alinhamento com as políticas e diretrizes estabelecidas.


ME1.1 Abordagem de Monitoramento

Estabelecer uma abordagem e uma estrutura de monitoramento geral que definam o escopo, a metodologia e o processo a serem seguidos para avaliar a entrega de soluções e serviços de TI e monitorar a contribuição da TI para os resultados do negócio. A estrutura deve se integrar com o sistema de gestão de desempenho corporativo.

ME1.2 Definição e Coleta dos Dados de Monitoramento

Trabalhar com o negócio na definição de um conjunto equilibrado de metas de performance que sejam aprovadas pelas áreas de negócio e demais partes interessadas relevantes. Definir comparativos (benchmarks) com os quais comparar as metas e identificar os dados disponíveis a serem coletados para medir as metas. Estabelecer processos para coletar em tempo apropriado e de maneira correta os dados a serem inclusos em relatórios que demonstrem o progresso em relação às metas.

ME1.3 Método de Monitoramento

Implementar um método de monitoramento de performance (por exemplo, balanced scorecard) que registre as metas, capture as medições, apresente uma visão ampla e sucinta do desempenho da TI e se ajuste ao sistema de monitoramento corporativo.

ME1.4 Avaliação de Desempenho

Analisar periodicamente o desempenho com base nas metas, executar análise de causa-raiz dos problemas e iniciar ação corretiva para tratar as causas ocultas.

ME1.5 Relatórios para a Alta Direção

Desenvolver informes para a Alta Direção sobre a contribuição de TI para o negócio, especialmente em termos de desempenho do portfólio da organização, programas de investimentos em TI e soluções e serviços de cada programa. Nos relatórios gerenciais de status, informar até que ponto os objetivos planejados foram atingidos, os recursos orçados que foram utilizados, as metas de desempenho alcançadas e os riscos minimizados. Antecipar a revisão da Alta Direção sugerindo ações de remediação no caso de desvios importantes. Fornecer relatórios para a Alta Direção e solicitar o retorno (feedback) da revisão gerencial.

ME1.6 Ações Corretivas

Identificar e iniciar ações corretivas com base no monitoramento, na avaliação e nos relatórios de desempenho. Isso inclui acompanhamento de todo o processo de monitoramento, relatórios e avaliações com:

  • Análise crítica, negociação e estabelecimento de respostas da gerência
  • Atribuição de responsabilidade pelas correções
  • Verificação dos resultados das ações acordadas

ME2 Monitorar e Avaliar os Controles Internos

Estabelecer um programa eficaz de controles internos de TI requer um processo de monitoramento bem definido. Esse processo inclui o monitoramento e reporte das exceções de controle, dos resultados de autoavaliação e avaliação de terceiros. Um benefício importante do monitoramento dos controles internos é assegurar uma operação eficaz e eficiente e a conformidade com as leis e os regulamentos aplicáveis.

ME2.1 Monitoramento da Estrutura de Controles Internos

Monitorar, comparar e aprimorar o ambiente e a estrutura de controles de TI continuamente para atingir os objetivos organizacionais.

ME2.2 Revisão Gerencial

Monitorar e avaliar a eficiência e a eficácia das revisões gerenciais dos controles internos de TI.

ME2.3 Exceções aos Controles

Identificar todas as exceções aos controles, assegurar que seja feita uma análise crítica das causas-raiz. Encaminhar e reportar adequadamente as exceções às partes interessadas. Realizar as ações corretivas necessárias.

ME2.4 Autoavaliação dos Controles

Avaliar o grau de abrangência e a efetividade dos controles internos da administração sobre os processos, as políticas e os contratos de TI através de um programa contínuo de autoavaliação.

ME2.5 Garantia dos Controles Internos

Conforme a necessidade, obter maior garantia da abrangência e da eficácia dos controles internos através de avaliações de terceiros.

ME2.6 Controles Internos Aplicados a Terceiros

Avaliar o status dos controles internos aplicados a cada fornecedor de serviço. Certificar-se de que fornecedores externos de serviço atendem às exigências legais e regulatórias e às obrigações contratuais.

ME2.7 Ações Corretivas

Identificar, iniciar, monitorar e implementar ações corretivas com base nas avaliações e nos relatórios de controle.

ME3 Assegurar a Conformidade com Requisitos Externos

A supervisão eficaz da conformidade requer o estabelecimento de um processo de revisão para assegurar a conformidade com as leis e regulamentações e os requisitos contratuais. Esse processo inclui identificar os requisitos de conformidade, otimizar e avaliar a resposta, assegurar que os requisitos sejam atendidos e integrar os relatórios de conformidade de TI com os das áreas de negócios.

ME3.1 Identificação dos Requisitos de Conformidade com Leis, Regulamentações e Contratos Externos

Continuamente identificar as exigências de leis, regulamentos e contratos locais e  internacionais que precisam ser atendidos para a inclusão em políticas, padrões, procedimentos e metodologias de TI.

ME3.2 Otimização da Resposta aos Requisitos Externos

Revisar e ajustar políticas, padrões, procedimentos e metodologias de TI para assegurar que os requisitos legais, regulatórios e contratuais sejam atendidos e comunicados.

ME3.3 Avaliação da Conformidade com Requisitos Externos

Confirmar a conformidade de políticas, padrões, procedimentos e metodologias de TI com os requisitos legais e regulatórios.

ME3.4 Assegurar a Conformidade

Obter e assegurar a conformidade e adesão a todas as políticas internas derivadas de diretrizes legais internas ou externas e requisitos regulatórios ou contratuais externos, confirmando que ações corretivas foram tomadas oportunamente para resolver quaisquer desvios de conformidade pelos proprietário do processo.

ME3.5 Informes Integrados

Integrar os informes de TI sobre requisitos legais, regulatórios e contratuais aos informes similares de outras funções do negócio.

ME4 Prover Governança de TI

O estabelecimento de uma efetiva estrutura de governança envolve a definição das estruturas organizacionais, dos processos, da liderança, dos papéis e respectivas responsabilidades para assegurar que os investimentos corporativos em TI estejam alinhados e sejam entregues em conformidade com as estratégias e os objetivos da organização.

ME4.1 Estabelecimento de uma Estrutura de Governança de TI

Definir, estabelecer e alinhar a estrutura de governança de TI com a governança organizacional e o ambiente de controle. Basear a estrutura em processos e modelos de controle de TI adequados e implementar práticas e responsabilidades claras para evitar falhas de controle interno e supervisão. Certificar-se de que a estrutura de governança de TI assegura a conformidade com leis e regulamentos, está alinhada com as estratégias e os objetivos da organização e corresponde a tais estratégias e objetivos. Produzir relatórios sobre o status da governança de TI e questões relacionadas.

ME4.2 Alinhamento Estratégico

Habilitar a Alta Direção no entendimento das questões estratégicas de TI, tais como os papéis de TI, as capacidades e os conhecimentos tecnológicos. Certificar-se de que há um entendimento compartilhado entre o negócio e a TI quanto ao potencial de contribuição de TI com a estratégia de negócio. Trabalhar com o conselho diretor para definir e implementar as estruturas de governança, como um comitê de estratégia de TI, para dar direção estratégica ao gerenciamento relativo a TI, assegurando que a estratégia e os objetivos sejam propagados de cima para baixo nas unidades de negócio e nas funções de TI e que o crédito e confiança sejam desenvolvidos entre o negócio e TI. Permitir o alinhamento de TI ao negócio no que tange à estratégia e à operação, incentivando a corresponsabilidade entre o negócio e TI para tomar decisões estratégicas e obter os benefícios dos investimentos em TI.

ME4.3 Entrega de Valor

Gerenciar os programas de investimentos e demais recursos e serviços de TI para assegurar que eles forneçam o maior valor possível no suporte aos objetivos e estratégia do negócio. Assegurar que sejam alcançados os resultados esperados pelo negócio quanto aos investimentos de TI, que o escopo completo de esforços necessários para o alcance desses resultados seja entendido, que estudos de caso abrangentes e consistentes sejam criados e aprovados pelas partes interessadas, que os ativos e investimentos sejam gerenciados durante seus ciclos de vida econômicos, que exista o gerenciamento ativo da realização dos benefícios (como contribuição com os novos serviços, ganhos de eficiência e resposta rápida para as demandas do cliente). Impor uma abordagem disciplinada de gerenciamento de portfólio, programas e projetos, insistindo que o negócio tenha responsabilidade sobre todos os investimentos de TI e assegurando que a TI otimize os custos da disponibilização dos serviços e da capacidades da TI.

ME4.4 Gerenciamento de Recursos

Supervisionar o investimento, o uso e a alocação dos recursos de TI por meio de avaliações periódicas das iniciativas e operações de TI, visando assegurar a existência recursos suficientes e o alinhamento com objetivos estratégicos e necessidades de negócios atuais e futuras.

ME4.5 Gestão de Riscos

Trabalhar com o conselho diretor para definir o apetite corporativo por riscos de TI e obter uma razoável segurança de que as práticas de gerenciamento de riscos de TI são adequadas para assegurar que os riscos atuais de TI não excedem o apetite de risco da Alta Direção. Integrar as responsabilidades de gerenciamento de riscos com a organização, assegurando que as áreas de negócios e TI regularmente avaliem e reportem os riscos relacionados a TI e seus impactos e que a posição dos riscos de TI da organização seja transparente para todas as partes interessadas.

ME4.6 Medição de Desempenho

Confirmar se os objetivos acordados de TI foram atingidos ou excedidos ou se o progresso na direção dos objetivos de TI atende as expectativas. Quando os objetivos acordados não foram atingidos ou o progresso não foi como esperado, revisar as ações de remediação da gerência. Reportar para a Alta Direção os portfólios, programas e desempenho de TI relevantes, suportados por relatórios que permitam à Alta Direção revisar o progresso da organização no que diz respeito aos objetivos definidos.

ME4.7 Avaliação Independente

Obter avaliação independente (interna ou externa) sobre a conformidade de TI com leis e regulamentos relevantes, com políticas padrões e procedimentos organizacionais, com práticas geralmente aceitas e a efetiva e eficiente performance de TI.